发表于 | 分类于

init顺序

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Bootstrap
   -> Catalina
      -> StandardServer
           -> StandardService
               -> StandardEngine
                    -> Cluster
                    -> Realm (LockOutRealm)
                         -> UserDatabaseRealm
                    -> StandardHost
                    -> StandardPipeline
                         -> StandardEngineValve
               -> MapperListener
                    -> StandardHost(Async)
                         -> StandardContext(Async)
               -> Connector
                    -> Http11NioProtocol
                         -> NioEndpoint-init
                              -> -> NioEndpoint-bind

start顺序

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Bootstrap
   -> Catalina
      -> StandardServer
           -> StandardService
               -> StandardEngine
                    -> Cluster
                    -> Realm (LockOutRealm)
                         -> UserDatabaseRealm
                    -> StandardHost
                    -> StandardPipeline
                         -> StandardEngineValve
               -> MapperListener
                    -> StandardHost(Async)
                         -> StandardContext(Async)
               -> Connector
                    -> Http11NioProtocol
                         -> NioEndpoint
阅读全文 »

发表于 | 分类于

文章转载自先知社区: https://xz.aliyun.com/t/7388

0x00 前言

前段时间,看到安全客有观星实验室的师傅写了篇《基于内存 Webshell 的无文件攻击技术研究》的文章,他的办法是动态的注册一个自定义的Controller,从而实现一个内存级的Webshell。文章也针对Spring不同的版本做了不同的实践,达到通杀Spring。虽然看起来达到通杀Spring了,但是对于一些非Spring的web框架,是不是就没办法了?这算是其局限吧。

阅读全文 »

发表于 | 分类于

文章转载自先知社区:https://xz.aliyun.com/t/7354

0x01 前言

前段时间写了篇关于Dubbo在默认dubbo协议下,使用hessian2序列化方式的利用讲解文章《dubbo源码浅析:默认反序列化利用之hessian2》,我发现网络上并没有存在过讲解这方面利用的文章,其实这么简单,想必很多大佬在这之前已经知道了…

阅读全文 »

发表于 | 分类于

文章转载自先知社区: https://xz.aliyun.com/t/7264

0x01 前言

前段时间,发了一篇文章《基于Java反序列化RCE - 搞懂RMI、JRMP、JNDI》,以概念和例子,粗略的讲解了什么是RMI,什么是JRMP、以及什么是JNDI,本来,我的初衷是为了照顾初学者,还有没多少Java基础的学习者,让他们能初步了解RMI\JRMP\JNDI,而不被很多讲得不清不楚的文章搞得迷迷糊糊,浪费了大量的时间。

阅读全文 »