1. 背景HSQLDB(HyperSQL DataBase) 是一个完全由Java编写的小型嵌入式数据库,因为它可以以文件或者内存的形式运行,不需要单独另...
背景这是我在做某个代码审计项目时遇到的场景,一个 yaml 解析的功能使用了 snakeyaml 来处理 yaml,snakeyaml 一般情况下是可以直...
背景上个月天天打游戏一直没更文,也没啥研究成果,这次就随便发点小技巧。没有技术含量,但在某些场景下也是可以运用得到。目前来看是可以影响到最新版本(1.2....
关于漏洞这个漏洞是我最近在一个代码审计项目中发现的,代码中处理传入的 XML 代码时使用了 XMLReaderFactory.createXMLReade...
关于漏洞fastjson 的这个新漏洞在 1.2.68 及之前版本的 autotype 关闭的情况下仍然可以绕过限制反序列化,相比 1.2.47 版本的漏...
关于漏洞fastjson 的这个新漏洞在 1.2.68 及之前版本的 autotype 关闭的情况下仍然可以绕过限制反序列化,相比 1.2.47 版本的漏...
关于漏洞该漏洞和以往的 autotype bypass 不同,要求 gadget 必须继承自 Throwable 异常类,所以常见的 JNDI gadge...
哔哔两句在我以往对 redis 服务的渗透经验中总结了以下几点可以 getshell 的方法。写文件特殊文件Windows开机自启动目录Linuxcron...