表达式注入


EL表达式注入EL表达式EL(Expression Language) 是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言,它提供了在 JSP 中简化表达式的方法,让Jsp的代码更加简化。EL存取变量数据的方法很简单,例如:$。它的意思是取出某一范

WebShell免杀


通过反射 Class clazz = Class.forName("java.lang.Runtime"); Method getRuntime = clazz.getMethod("getRuntime"); Method method = clazz

初探PHP-Parser


php-parserphp-parser是一个php库,可以将PHP代码解析为抽象语法树安装:composer require nikic/php-parserini_set('xdebug.max_nesting_level', 3000);这个用于设置运行嵌套执行的函数的最大数目,防止在遍历结点

fastjson反序列化漏洞


fastjson反序列化漏洞

JNDI Reference注入


JNDI(Java Naming and Directory Interface)是一组应用程序接口,为开发人员查找和访问各种资源提供了统一的通用接口

Java安全-RMI


Java安全-RMI

Shiro550 rememberMe反序列化漏洞


Shiro550 rememberMe反序列化漏洞

Java反序列化漏洞-CC5


payload:public class CC5 { public static void main(String[] args) throws Exception { BadAttributeValueExpException badAttributeValueExpExcep

东华杯ezgadget赛后复现


@RequestMapping({"/readobject"}) public String unser(@RequestParam(name = "data",required = true) String data, Model model)

Java反序列化漏洞-CC3


CC3同样要求JDK版本在8u71以下我们可以将TemplatesImpl加载字节码的特性来改造一下CC1一个小demo public static void main(String[] args) throws Exception { TemplatesImpl obj = new