分类: Java

6 篇文章

thumbnail
Hibernate Gadget Learn
Hibernate Gadget Learn 0x01.Hibernate 简介 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,它将POJO与数据库表建立映射关系,是一个全自动的ORM框架,hibernate可以自动生成SQL语句,自动执行,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库…
thumbnail
c3p0 Gadget Learn
c3p0 Gadget Learn 0x01.C3P0 组件简介 C3P0 是一个开源的 JDBC 连接池,它实现了数据源和 JNDI 绑定,支持 JDBC3 规范和 JDBC2 的标准扩展。目前使用它的开源项目有 Hibernate,Spring 等。 JDBC 是 Java DataBase Connectivity 的缩写,它是 Java 程…
thumbnail
Rome Gadget Learn
Rome Gadget Learn 0x01. Rome ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。ROME 兼容了 RSS (0.90, 0.91, 0.92, 0.93, 0.94, 1.0, 2.0), Atom 0.3 以及 Atom 1.0 feeds 格式…
thumbnail
Java安全杂烩(二)
Java安全杂烩(二) Fastjson反序列化 Fastjson简介 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Fastjson在阿里巴巴大规模使用,在数万台服务器上部署,Fastjson在业界被广泛接受。在20…
thumbnail
Java安全杂烩(一)
Java安全杂烩(一) 0x01.JNDI在RMI中协议面临的攻击面 在RMI中,服务端可以绑定一个对象,客户端查找该对象时以序列化数据返回,服务端也同样支持绑定对象的引用,返回给客户端指定地址以获得这个对象 如下图所示,我们构建一个恶意的服务端,并且绑定了一个对象引用(注意这里的类应为全称): 当客户端进行lookup rmi://127.0.0…
thumbnail
java反序列化 — URLDNS反序列化分析
java反序列化 -- URLDNS反序列化分析 何为URLDNS 这里借助P牛的说法,URLDNS就是ysoserial中一个利用链的名字,但准确来说,这个其实不能称作“利用链”。因为其参数不是一个可以“利用”的命令,⽽仅为一个URL,其能触发的结果也不是命令执⾏,⽽是一次DNS请求。 虽然这个“利利⽤用链”实际上是不能“利用”的,但因为其如下的…