JFinal CMS 5.1.0 命令执行漏洞分析(CVE-2024-53477)
环境搭建 git clone https://github.com/jflyfox/jfinal_cms.git 拉取5.1.0版本。 Tomcat 9.0.96 JDK 17.0.1
初探Fastjson漏洞
fastjson是什么 fastjson是阿里巴巴的开源J的SON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。 环境搭建 导入依赖 这里先演示 1.2.24 <dependency>
目录穿越(目录遍历)总结
前言 在前段时间省级hw期间,这个漏洞还是暴漏的不少的,并且危害不小;然后就通过这篇文章记录一下关于这个洞的一些细节。 nginx目录穿越 在nginx配置中,有一个关键字autoindex。他的作用就是是否开启目录浏览;也就是是否能看到目录下的文件。 &n
云主机SK/AK泄露利用
前言 昨天看了一份hw报告,其中是对云主机泄露了AK/SK的利用,之前没有接触过。今天来学习记录一下。本文章主要讲理论和一些工具介绍以及如何防护。 介绍 什么是SK/AK 云主机通过
java安全CC6链分析
前言 前面已经分析过了cc1链子,但是这个链子有jdk限制,在Java 8u71以后,这个链子就不能再利用了。主要是因为sun.reflect.annotation.AnnotationInvocationHandler#readObject里面逻辑变换了,没有setValue了。 而这篇文章要分析
java安全CC1链分析
1.前言 Apache Commons Collections 是 Apache 软件基金会的一个子项目,提供了许多有用的 Java 集合框架的实现和扩展。它旨在填补 Java 标准类库中集合框架的一些不足,并提供了一系列的集合实现和工具类,以帮助开发者更加方便地处理集合数据。 2.环境准备 影响版