java
关注
分享
扫一扫
kee_ke
这个作者很懒,什么都没留下…
展开
-
tomcat对url请求中的特殊字符处理 分析
0x00 前言 事情起因是 最近在看 orange 大佬在black hat 发的一篇关于路径穿越的议题 PDF:https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf 里面谈到了反向代理和tomcat 二义性问题导致路径穿越: 然后本地搭建tomcat ,直接在浏览器中用 …;/来进原创 2020-11-30 23:34:42 · 3941 阅读 · 0 评论 -
Java 反序列化 ysoserial-URLDNS利用链 调试分析
0x 前言 遇到java 反序列化漏洞时,很多时候都会利用 ysoserial 这个工具来生成payload,于是这次决定来跟一根 ysoserial 里面最简单的 URLDNS 这条利用链 0x 准备分析 先看看 ysoserial 生成 URLDNS 的这段代码: 注释里说得很明白,利用链是: * Gadget Chain: * HashMap.readObject() * HashMap.putVal() * HashMap.hash() *原创 2020-08-15 12:58:59 · 1529 阅读 · 0 评论