- 博客(4)
- 收藏
- 关注
RSS订阅原创 Java DNS带外解析与反序列化综合利用
与本篇第二部分的调用链详解中的第一层调用使用的方法是一模一样的,至此我们可以知道在反序列化时肯定是调用了put方法,这样我们就可以知道反序列化时也会发生dns解析并且带外信息。在java中InetAddress.getByName方法会解析域名,也就是会触发DNS解析,那么我们就可以利用它做dns带外。当把java.net.URL对象当做HashMap的put方法的key时,会触发dns解析,可以外带信息。这样,我们就在序列化之前,将hashCode的值改回了-1,后面反序列化的时候这里就不会成为问题。
2024-04-08 00:01:19
1457
1
原创 CISCN2019_华北赛区_Day1_Web2]ikun_1通关手册
CISCN2019_华北赛区_Day1_Web2]ikun_1通关手册
2022-11-14 23:01:00
2229
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人