前言回顾回顾一下fastjson反序列化利用 漏洞原理：fastjson 在反序列化的时候会去找我们在 @type 中规定的类是哪个类，然后在反序列化的时候会自动调用这些 setter 与 getter 方法的调用 1.2.24版本反序列化利用，小小...

虽然已经进入夏天，但是让我们来学习一下春天！ 从头开始看黑马的视频太耗费时间，不要求自己一接触就所有知识点都很熟悉，能了解开发框架的65%就满足。后面遇到不会的知识点再回炉加深印象 所以我选择站在前人的肩膀上学习 全文主要参考：https://dru...

学一下经典 主要参考 https://drun1baby.top/2022/08/09/Log4j2%E5%A4%8D%E7%8E%B0 https://www.cnblogs.com/zpchcbd/p/16200105.html 环境 jdk8u...

环境 jdk8u65 1.2.22 <= Fastjson <= 1.2.24 依赖 1234567891011121314151617181920<dependency> <groupI...

Fastjson简介Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象。 ...

JNDI概述是什么JNDI全称Java Naming Diretory Interface ，java名称与目录接口，一个名字对应一个对象。他提供了统一的客户端API，由管理者将JNDI API映射为特定的目录服务和命名服务，为使用者查找和访问资源提...

全文参考 https://drun1baby.top/2022/07/23/Java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E4%B9%8BRMI%E4%B8%93%E9%A2%9802-RMI%E7%9A%84%...

我看后面挺多漏洞和这个RMI和JNDI有关，现在先学习一下 RMI介绍RMI 全称 Remote Method Invocation（远程方法调用），在一个 JVM 中 Java 程序调用在另一个远程 JVM 中运行的 Java 程序，这个远程 JV...

keep going🏃‍♀️，有了前面的基础，这个应该不是很难，但是要学习新的java知识 环境 jdk8u65 commons-beanutils 1.9.2 参考Drunkbaby师傅给的环境 1234567891011121314151...

继续增加实操经历！ Redis 默认情况下，会绑定在 0.0.0.0:6379（在redis3.2之后，redis增加了protected-mode，在这个模式下，非绑定IP或者没有配置密码访问时都会报错），如果没有进行采用相关的策略，比如添加防火墙...