大数据_北几岛

Java安全之URLDNS链

所属栏目：[大数据] 日期：2021-05-21 热度：130

Java安全之URLDNS链 0x00 前言在学习Java的反序列化漏洞的时候，就不得不学习他的一个利用链。很多刚刚入门的对于利用链这个词可能比较陌生。那么这里先来了解一下Java反序列化和反序列化漏洞的一个产生。文章首发：Java安全之URLDNS链 0x01 Java反序列化[详细]
Java 审计之过滤器防御xss

所属栏目：[大数据] 日期：2021-05-21 热度：153

Java 审计之过滤器防御xss 0x00 前言本文从攻击与防守两个角度来思考一些审计中的小细节。在前面两篇的xss审计中，写少了一个比较重要的点，就是Filter过滤器。都说Java的审计第一步就是先看web.xml，能看到该cms使用的是哪些框架来进行开发。其次就是看其[详细]
Java安全之 ClassLoader类加载器

所属栏目：[大数据] 日期：2021-05-21 热度：81

Java学习之 ClassLoader类加载器 0x00 前言前面这里抛出一个问题，Java到底是什么类型的编程语言？是编译型？还是解释型？在这个问题是其实一直都都有疑惑，如果说是解释型语言的话，那么为什么需要编译呢？如果说是编译型语言的话，那么在编译完成后，需要[详细]
Java安全之Commons Collections7分析

所属栏目：[大数据] 日期：2021-05-21 热度：133

Java安全之Commons Collections7分析 0x00 前言本文讲解的该链是原生 ysoserial 中的最后一条CC链，但是实际上并不是的。在后来随着后面各位大佬们挖掘利用链，CC8，9，10的链诞生，也被内置到 ysoserial 里面。在该链中其实和CC6也是类似,但是CC7利用链中[详细]
Java安全之Weblogic 2016-0638分析

所属栏目：[大数据] 日期：2021-05-21 热度：103

Java安全之Weblogic 2016-0638分析文章首发先知：Java安全之Weblogic 2016-0638分析 0x00 前言续上篇文的初探weblogic的T3协议漏洞，再谈CVE-2016-0638， CVE-2016-0638是基于 CVE-2015-4852漏洞的一个绕过。 Java安全之初探weblogic T3协议漏洞 0x01 环境[详细]
Java安全之JNI绕过RASP

所属栏目：[大数据] 日期：2021-05-21 热度：164

Java安全之JNI绕过RASP 0x00 前言前面一直想看该JNI的相关内容，但是发现JNI的资料还是偏少。后面发现JNI在安全中应用非常的微妙，有意思。 0x01 JNI概述 JNI的全称叫做（Java Native Interface），其作用就是让我们的Java程序去调用C的程序。实际上调用的[详细]
Java安全之RMI反序列化

所属栏目：[大数据] 日期：2021-05-21 热度：161

Java安全之RMI反序列化 0x00 前言在分析Fastjson漏洞前，需要了解RMI机制和JNDI注入等知识点，所以本篇文来分析一下RMI机制。在Java里面简单来说使用Java调用远程Java程序使用的就是RMI，调用C的程序调用的是JNI，调用python程序使用到的是Jython。RMI、JN[详细]
Java安全之Weblogic 2016-3510 分析

所属栏目：[大数据] 日期：2021-05-21 热度：177

Java安全之Weblogic 2016-3510 分析首发安全客：Java安全之Weblogic 2016-3510 分析 0x00 前言续前面两篇文章的T3漏洞分析文章，继续来分析CVE-2016-3510漏洞，该漏洞一样是基于，前面的补丁进行一个绕过。 Java安全之初探weblogic T3协议漏洞 Java安全之W[详细]
Java安全之JNDI注入

所属栏目：[大数据] 日期：2021-05-21 热度：191

Java安全之JNDI注入文章首发：Java安全之JNDI注入 0x00 前言续上篇文内容，接着来学习JNDI注入相关知识。JNDI注入是Fastjson反序列化漏洞中的攻击手法之一。 0x01 JNDI 概述 JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的[详细]
Java 安全之Weblogic 2017-3248分析

所属栏目：[大数据] 日期：2021-05-21 热度：175

Java 安全之Weblogic 2017-3248分析 0x00 前言在开头先来谈谈前面的绕过方式，前面的绕过方式分别使用了 streamMessageImpl 和 MarshalledObject 对gadgets的对象进行封装起来。其实这本质上算是同一个方式，只是利用了不同的类对他进行封装，达成绕过效果[详细]
Java学习之AWT GUI编程

所属栏目：[大数据] 日期：2021-05-21 热度：175

Java学习之AWT GUI编程 0x00 前言既然前面提到了要重写冰蝎和一些反序列化工具，当然就不能随便说说而已。在编写这些工具还是要使用图形化工具来的方便一些，所以提前把GUI的框架给学习一遍。其实重写webshell工具这个也就是实现部分，现在就差个gui框架。[详细]
Java 安全之Java Agent

所属栏目：[大数据] 日期：2021-05-21 热度：151

Java 安全之Java Agent 0x00 前言在前面发现很多技术都会去采用Java Agent该技术去做实现，比分说RASP和内存马（其中一种方式）、包括IDEA的这些破解都是基于Java Agent去做实现。下面来领略该技术的微妙所在。 0x01 Java Agent 机制在JDK1.5版本开始，Jav[详细]
Java安全之Shiro 550反序列化漏洞分析

所属栏目：[大数据] 日期：2021-05-21 热度：159

Java安全之Shiro 550反序列化漏洞分析首发自安全客：Java安全之Shiro 550反序列化漏洞分析 0x00 前言在近些时间基本都能在一些渗透或者是攻防演练中看到Shiro的身影，也是Shiro的该漏洞也是用的比较频繁的漏洞。本文对该Shiro550 反序列化漏洞进行一个分析[详细]
Java安全之Commons Collections4分析

所属栏目：[大数据] 日期：2021-05-21 热度：111

Java安全之Commons Collections4分析文章首发：Java安全之CC4分析 0x00 前言继续来分析一波CC4的链，在写该文前，看到网上大部分的文章都只给了一个调用链和POC。其实看CC4调用链的时候，能看出来CC4的调用链用到的也是前面的一些类去构造，只不过把CC2 和[详细]
Java安全之初探weblogic T3协议漏洞

所属栏目：[大数据] 日期：2021-05-21 热度：70

Java安全之初探weblogic T3协议漏洞文章首发自安全客：Java安全之初探weblogic T3协议漏洞 0x00 前言在反序列化漏洞里面就经典的还是莫过于weblogic的反序列化漏洞，在weblogic里面其实反序列化漏洞利用中大致分为两种，一个是基于T3协议的反序列化漏洞，[详细]
C语言数据类型及变量整理

所属栏目：[大数据] 日期：2021-05-21 热度：171

数据类型获取int的字节数大小方法 printf( " int bytes:%d " , sizeof ( int )); 列表整理 ? Int 与 long int的区别早期的C平台是16位int系统，int用二字节表示，范围是-32768~+32767；long是long int的简写，用4字节表示，范围是-2147483648~+2147483647[详细]
C语言字符/字符串相关函数收藏

所属栏目：[大数据] 日期：2021-05-21 热度：98

字符串的声明与使用定义一个可变的字符串： char ch[]={"123456abc"}; char ch2[5]={"123456789"}; //会出现警告提示初值太长，可忽略系统将会自动截取 ch[3]='B'; ? 定义一个字符串常量（不可变）：字符常量默认后面后‘’作为结束符 char *ch="123456a[详细]
C语言小笔记

所属栏目：[大数据] 日期：2021-05-21 热度：113

?头文件的书写头文件实现函数声明，在使用模板后可以实现一个C文件中即使重复包含某个头文件，在系统中用于只会确认为一个包含头文件包含可以理解为将头文件内容替换#include“...”行模板（dong.h）： #ifndef _DONG_H_ #define _DONG_H_ // 其它内容 #e[详细]
C语言文件操作

所属栏目：[大数据] 日期：2021-05-21 热度：187

打开文件您可以使用? fopen( ) ?函数来创建一个新的文件或者打开一个已有的文件，这个调用会初始化类型? FILE ?的一个对象 FILE *fopen( const char * filename, char * mode ); 在这里， filename ?是字符串，用来命名文件，访问模式? mode ?的值可以是下[详细]
Liunx C 编程之多线程与Socket

所属栏目：[大数据] 日期：2021-05-21 热度：196

多线程 pthread.h是linux特有的头文件，POSIX线程（POSIX threads），简称Pthreads，是线程的POSIX标准。该标准定义了创建和操纵线程的一整套API。在类Unix操作系统（Unix、Linux、Mac OS X等）中，都使用Pthreads作为操作系统的线程。Windows操作系统也有其[详细]
C语言指针收藏

所属栏目：[大数据] 日期：2021-05-21 热度：188

指针是什么》》每一个内存单元只能同时存储一个数据，如何保证内存单元同时只能存储一个数据，可以使用编号的方式实现内存单元标记，此编号就是指针。》》指针是一个变量，指针是存放着一个数据的内存地址而不是数据本身的值，其是查找数据的另一种方式相[详细]
JAVA开始（基础篇）

所属栏目：[大数据] 日期：2021-05-21 热度：117

数据类型 Boolean? ? ? ? 1位 Byte? ? ? ? ? ? ? 1个字节（8位） Short? ? ? ? ? ? ?2个字节 Char? ? ? ? ? ? ? 2个字节 Int? ? ? ? ? ? ? ? ? 4个字节 Long? ? ? ? ? ? ? 8个字节默认类型默认使用的是double和int,如果要使用float或者long需要在其数字后[详细]
JAVA字符串处理函数汇总

所属栏目：[大数据] 日期：2021-05-21 热度：83

String类 String str1="content1"; 简单的字符串拼接 String str2="content2" ;String str3 =str1+"----"+ str2;System.out.println(str3); // content1----content2 System.out.println(str1.concat(str2).concat(str3)); content1content2content1----cont[详细]
Java线程及TCP编程

所属栏目：[大数据] 日期：2021-05-21 热度：193

线程进程由线程组成，多线程可以实现多个任务的同时运行，是网络编程的必要一环普通线程 1 class Mythread implements Runnable{ 2 private String name; 3 public Mythread(String nn){ 4 this .name=nn; // 对象标识 5 } 6 7 @Override 8 public void ru[详细]
部署 HTTPS 访问 ( https:// )

所属栏目：[大数据] 日期：2021-05-21 热度：156

简单来说， HTTPS协议是由 SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比 http协议安全。 http和 https使用的是完全不同的连接方式，用的端口也不一样，前者是 80，后者是 443。 HTTP协议传输的数据都是未加密的，也就是明文的，因此使用 HTT[详细]

4606

首页

109