大彩笔threedr3am


  • 首页

  • 关于

  • 标签

  • 分类

  • 归档

marshalsec改造篇-加入dubbo-hessian2 exploit

发表于 2020-02-25 | 分类于 安全开发

0x00 前言

1. 描述

官方github描述:

1
Java Unmarshaller Security - Turning your data into code execution

“将数据转换为代码执行”,我对其理解就是,在java反序列化时,利用序列化数据造成代码执行攻击。

阅读全文 »

Apache Shiro源码浅析之从远古洞到最新PaddingOracle CBC

发表于 2020-02-21 | 分类于 java框架源码分析

0x00 前言

Apache Shiro is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smallest mobile applications to the largest web and enterprise applications.

Apache Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。通过Shiro易于理解的API,您可以快速、轻松地保护任何应用程序——从最小的移动应用程序到最大的web和企业应用程序。

阅读全文 »

dubbo源码浅析-默认dubbo协议反序列化利用之hessian2

发表于 2020-02-14 | 分类于 java框架源码分析

一、前言

官方github描述:

1
Apache Dubbo is a high-performance, java based, open source RPC framework.

Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

阅读全文 »

Fastjson反序列化RCE核心-四个关键点分析

发表于 2020-01-29 | 分类于 java框架源码分析

0x01 前言

A fast JSON parser/generator for Java.一个Java语言实现的JSON快速解析/生成器。

阅读全文 »

基于Java反序列化RCE - 搞懂RMI、JRMP、JNDI

发表于 2020-01-15 | 分类于 java漏洞分析

0 前言

以往看到很多讲述RMI、JNDI、JRMP的文章,有部分文章都描述的并不是很清晰,看着通篇大论,觉得很详细,但看完之后却搞不懂,也解释不清,反正就是感觉自己还没搞懂,却又好像懂了点,很迷糊…

这篇文章,我想要的就是以最简短的内容和例子,去阐述RMI、JNDI、JRMP…,并讲讲为什么用InitialContext lookup一个JNDI的rmi、ldap服务会导致自身被反序列化RCE,为什么Registry bind暴露一个服务对象到RmiRegistry会导致Registry服务自身被反序列化RCE,为什么使用JRMP能互相对打等等。虽然我不能百分百保证我写的毫无错误,但是,我觉得你看了这篇文章之后,大概应该就懂了。

阅读全文 »
1…456…8
threedr3am

threedr3am

菜到如此

38 日志
8 分类
65 标签
GitHub Twitter
Links
  • Levi4than
  • Just1earnm0re
  • ruilin
  • leadroyal(卓卓师傅)
  • kingkk
  • in0va'S(dw大鸽)
  • 大树先生(测试大牛)
  • chensem(逆向龙哥)
  • 梅子酒
  • orange
© 2022 threedr3am
由 Hexo 强力驱动
|
主题 — NexT.Pisces v5.1.4