分类: Java

38 篇文章

thumbnail
Groovy1反序列化|ysoserial学习(四)
Groovy1反序列化|ysoserial学习(四) 文章导读 今天对yso的分析选择了Groovy1这条链子, 总的来说对了解对象代理和Groovy对闭包的处理逻辑还是又不少的好处的, 快来一起学习吧 Groovy1-Gadget /* Gadget chain: ObjectInputStream.readObject() PriorityQu…
thumbnail
Hibernate2反序列化|ysoserial学习(三)
Hibernate2反序列化|ysoserial学习(三) Hibernate2-Gadget /** * * Another application filter bypass * * Needs a getter invocation that is provided by hibernate here * * javax.naming.Ini…
thumbnail
Hibernate1反序列化|ysoserial学习(二)
Hibernate1反序列化|ysoserial学习(二) Hibernate1-Gadget /** * * org.hibernate.property.access.spi.GetterMethodImpl.get() * org.hibernate.tuple.component.AbstractComponentTuplizer.getP…
thumbnail
ROME反序列化|ysoserial学习(一)
ROME反序列化|ysoserial学习 Gadget /** * * TemplatesImpl.getOutputProperties() * NativeMethodAccessorImpl.invoke0(Method, Object, Object[]) * NativeMethodAccessorImpl.invoke(Object, …
thumbnail
从羊城杯一道题学习高版本JDK下JNDI的利用
从羊城杯一道题学习高版本JDK下JNDI的利用 还原题目 源码内容不多,只有一个解析控制器, @RequestMapping({"/ApiTest"}) public class JsonApiTestController { @Autowired private ApiTestService apiTestService; p…
thumbnail
SpringBoot学习篇|网站项目的搭建
SpringBoot学习篇|网站项目的搭建 做了什么 从20节到29节中写了如何搭建一个网站项目的过程,但是这不是我们关注的重点,所以不多做笔记,简单说一下过程 准备工作:找一个模板框架,将前端页面复制到静态资源文件夹下 首页实现:写一个首页控制器 国际化:在resources建一个i18l目录实现国际化(实际上就是写多个配置文件配置变量,使用不同…
thumbnail
SpringBoot学习篇|配置拓展Webmvc
SpringBoot学习篇|配置拓展Webmvc 拓展WebMVC Spring MVC Auto-configuration 有关内容原文见官方文档 简单来说就是能够通过Auto-configuration实现我们之前分析见到的全部功能,例如静态资源加载 ContentNegotiatingViewResolver and BeanNameVie…
thumbnail
SpringBoot学习篇|静态资源&模板の加载
SpringBoot学习篇|静态资源&模板の加载 预备 开局先写一个helloworld的控制器 package com.example.demo.controller; import org.springframework.web.bind.annotation.RequestMapping; import org.springframe…
thumbnail
SpringBoot学习篇|web学习简单序列
SpringBoot学习篇|web学习简单序列 jar: webapp! 自动装配 springboot到底帮我们配置了什么?我们能不能进行修改?能修改哪些东西?能不能扩展? xoceAutoConfiguraion-向容器中自动配置组件 xxxProperties:自动配置类。 装配配置文件中自定义的一些内容! 要解决的问题: 导入静态资源 首页…
thumbnail
SpringBoot学习篇|主启动类的运行
SpringBoot学习篇|主启动类的运行 package com.example.demo; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @Spring…
thumbnail
SpringBoot学习篇|配置文件如何一步步被导入生效
SpringBoot学习篇|配置文件如何一步步被导入生效 进入@SpringBootApplication注解查看Springboot的继承关系 org.springframework.boot.autoconfigure.SpringBootApplication 跟进org.springframework.boot.autoconfigure.…
thumbnail
SpringBoot学习篇|配置文件加载路径&多环境配置
SpringBoot学习篇|配置文件加载路径&多环境配置 配置文件加载路径 关于配置文件加载的官方文档入口: 传送门 可以看到加载配置文件的默认路径还是很多的,但是默认下就是以下四个路径(优先级依次降低): 项目根目录下的config文件夹/config 项目根目录/ 类路径下的config目录/src/main/resources/con…
thumbnail
SpringBoot学习篇|Yaml配置文件属性注入
SpringBoot学习篇|Yaml配置文件属性注入 /resources/application.properties可以配置哪些内容呢? 参考: 官方配置文档 application.properties-->application.yaml 首先可以看一下从哪里知道可以导入yaml的(实际上官方更推荐使用yaml) 我们可以从当前项目的…
thumbnail
SpringBoot学习篇|Springboot的配置加载
SpringBoot学习篇|Springboot的配置加载 简单的认识 SpringBoot主要就是具备微服务的模块化思想,是在Spring的基础上改进得到的,Springboot就是会帮助我们自动配置的,内嵌Tomcat(或其它)的Spring服务,所以了解Springboot的自动装配原理对将其和Spring关联起来是很重要的。 微服务阶段 j…
thumbnail
Spring框架漏洞学习
Spring框架漏洞学习 自从算法和操作系统考试以来对Java的学习就摆的很严重了可以说,今天就从Spring的框架漏洞来学习一下Java吧... 又是一篇转载文,主要就是跟着Spring框架漏洞总结的思路把漏洞跟一遍,至于复现的细节原文挺详细的可以参考原文 下面这几个CVE都是很久以前的了,而且都是与SPEL表达式有关. SPEL表达式 2009…
thumbnail
CodeQL初识 — java分析的简单学习
CodeQL初识 -- java分析的简单学习 这里的内容多为文档的译文, 理解不通的地方建议去文章附加的链接看文档原文。 找出定义了invoke函数的类 import java from Method method where method.hasName("invoke") select method.getName(), …
thumbnail
Java反序列化(十二) | Fastjson②1.2.24-68总结
Java反序列化(十二) | Fastjson②1.2.24-68总结 介绍什么的就不说了,简介以及1.2.24的复现和详细分析可以看 Java反序列化(十) | Fastjson - CVE-2017-18349 需要注意的是在java版本大于1.8u191之后版本存在trustCodebaseURL的限制,只能信任已有的codebase地址,不…
thumbnail
Java反序列化(十) | Fastjson – CVE-2017-18349
Java反序列化(十) | Fastjson - CVE-2017-18349 Fastjson和Jackson这两个版块的都是由于反序列化json数据导致漏洞形成, 而且Fastjson有很多版本的绕过,在这里就先开始学习Fastjson的两个CEV, 后续对不同版本的绕过再总结一下, 网上已经有很好的文章了,所以复现这两个CVE了解原理之后就直…
thumbnail
Spring源码分析
Spring源码分析 ​ 经过周末两天对源码的学习只能说千万别扣细节,那简直就是一个无底洞,现在已经被劝退了。这个文章就是一些资料和零散的学习笔记,属实没时间精力去完善整理这两天学习的东西了。 B站学习链接 一些知识流程图 Main函数 我们直接在整个项目的第一步main函数的第一句开始打断点进去逐步调试看源码的整个运行流程 一些重要类的介绍 这里…
thumbnail
SpringWeb项目搭建
SpringMVC架构 DispatcherServlet:前端控制器 用户请求到达前端控制器,它就相当于mvc模式中的c, dispatcherServlet是整个流程控制的中心,由它调用其它组件处理用户的请 求,dispatcherServlet的存在降低了组件之间的耦合性。 HandlerMapping:处理器映射器 HandlerMappi…