0x00 前言 ​ 上篇文章：https://www.yuque.com/tianxiadamutou/zcfd4v/bea7gi ​ 上一篇文中利用的是 cc11 作为 Gadget 进行注入，但是 cc 毕竟需要利用额外的依赖 CommonsCollections ，所以最理想的情况就是寻找一条 Shiro 自带的 Gadget ，至此 p 神…

0x00 前言 在上一篇文章中，我们简单的分析了 Shiro 550 漏洞的成因，同时学习了 l1nk3r 师傅提出的 shiro 检测，目前很多shiro的利用都是选择 dnslog 带出，直接盲打等操作，那么如果 shiro 在不出网的情况下，那么将结果外带这条路是走不通的，盲打的话我们也不能保证我们使用的链存在，只能通过时延来确定我们的命令是…

0x00 前言 说在前面，本文都是参考学习 三梦师傅 和 kingkk师傅的文章的自己学习记录 文章链接：https://xz.aliyun.com/t/7348#toc-3，https://xz.aliyun.com/t/7388#toc-2 前文链接：https://mp.weixin.qq.com/s?__biz=Mzg3OTU3MzI4Mg…

0x00 前言 在上一篇文章中我们分析了fastjson TemplatesImpl的利用链，本来这篇应该是分析fastjson JdbcRowSetImpl利用链的，但是由于在JdbcRowSetImpl这条链中会用到RMI相关知识，所以这篇文章我们就先来简单的学习一下RMI 在学习过程中发现RMI的知识非常的多，所以本篇文章只是简单的介绍一下R…

0x00 前言 FastJson是阿里巴巴开源的一个json库，能够快速的进行序列化和反序列化，但是自17年起就陆陆续续爆出过许多RCE，碰巧前段时间朋友丢过来一个fastjson让帮忙看看，同时之前面试中也有被问到所以就打算来学习一下 前前后后看了好几天同时阅读了很多前辈的文章才弄明白，仔仔细细跟了一下底层利用链（Java还是得继续学习，太菜了呜…

0x00 前言 继续来学习cc2，这个链需要一些前置知识所以前前后后看了好久才明白，同时也学到了很多 环境：jdk 1.7 在我们开始cc2的分析之前我们需要先知道下面三个前置知识：javasist，ClassLoader#defineClass，TemplatesImpl，cc2中就是就是结合这几块进行的触发 cc2中利用的是cc4.0，因为cc…

0x00 前言 这篇文章并不是yso中的cc1的payload，是利用TransformedMap的。这条链是p牛在Java漫谈中提到的 该文章主要参考自p牛和先知社区上的一篇文章： https://xz.aliyun.com/t/7031#toc-8 p牛-代码审计-Java漫谈 实验环境：jdk：1.7 （8u71之后已修复不可利用） 如果您之…

0x00 前言 URLDNS是Java反序列化中比较简单的一个链，由于URLDNS不需要依赖第三方的包，同时不限制jdk的版本，所以通常用于检测反序列化的点 URLDNS并不能执行命令，只能发送DNS请求 0x01 序列化和反序列化 序列化是为了将对象进行长期存储而诞生的方法，那么反序列化就是将存储的序列化内容恢复成对象 Java的序列化和反序列化…

0x00 准备工作 源码下载：https://github.com/top-think/thinkphp/archive/3.2.3.zip 在文件中进行配置，我这里是mysql 8.0 ，DH_HOST 那边不添加 3306会连接不上，正常情况 localhost即可 创建好对应的数据库，并且创建对应的数据表 0x01 SQL where 注入 …

0x00 源码 源码：http://data.wjlshare.xyz/project-source-code/appcms_2.0.zip 0x01 任意文件包含（前台RCE） 文件位置: index.php 大约202行左右 发现在文件202行进行了路径的拼接，且$tpl 参数用户可控 并没有对路径进行过滤，导致之间将文件包含到我们/templ…