代码审计 | Y4er的博客

ysoserial AspectJWeaver file write gadget
2021-02-21 ysoserial 反序列化
昨天在挖weblogic漏洞时发现ysoserial更新了一个新的gadget AspectJWeaver，今天分析一下。
Read More
WebLogic CVE-2020-14756 T3/IIOP 反序列化RCE
2021-01-27 Java WebLogic CVE
参考安恒的文章
Read More
WebLogic CVE-2021-2109 JNDI RCE
2021-01-27 Java JNDI WebLogic CVE
console的JNDI注入，需要登录。
Read More
Apache Flink CVE-2020-17518/17519 读写反序列化
2021-01-20 RCE Flink Java
又是URL编码的问题
Read More
Real Wolrd CTF Old System New Getter Jndi Gadget
2021-01-14 jndi ctf
昨天晚上看了长亭的一篇Real Wolrd CTF 3rd Writeup | Old System 推文，觉得很有意思，自己研究下。
Read More
Java Agent实现反序列化注入内存shell
2020-09-30 shell 反序列化 Java Agent 内存马
本文将要讲解的是通过Java agent拦截修改关键类的字节码，最大程度实现一套代码通用注入内存shell。
Read More
Weblogic CVE-2020-14645
2020-07-20 Java Weblogic
UniversalExtractor任意调用get、is方法导致JNDI注入。
Read More
fastjson 1.2.68 bypass autotype
2020-06-16 fastjson java 反序列化
基于期望类的特性
Read More
Ysoserial JDK7u21
2020-06-10 ysoserial 反序列化 Java
0^anything=anything
Read More
Bypass JEP290
2020-05-29 java 反序列化
本文学习如何绕过JEP290反序列化限制
Read More
- 1
- 2
- 3
- 6