Skip to content

a rep for documenting my study, may be from 0 to 0.1

License

Notifications You must be signed in to change notification settings

li282886931/JavaSec

Folders and files

NameName
Last commit message
Last commit date

Latest commit

f789ee3 · Oct 28, 2022
Nov 2, 2021
Oct 26, 2022
Oct 28, 2022
Sep 20, 2022
Feb 23, 2022
Oct 26, 2022
Jul 6, 2022
Aug 22, 2022
Nov 24, 2021
Aug 12, 2022
Nov 5, 2021
Aug 17, 2022
Aug 22, 2022
Mar 4, 2022
Oct 20, 2022
Jan 31, 2022
Aug 4, 2022
Jan 16, 2022
Oct 18, 2021
Oct 26, 2022

Repository files navigation

JavaSec

JavaSec

0.For Me

仅仅只是想写给自己看

一个记录我Java安全学习过程的仓库,本仓库不是真正意义上的教学仓库(rep中的内容都是我在平时的一些笔记没有很强逻辑性,内容水平自然也是参差不齐,可能有些对我来说很简单的便忽略不计对其他人来说却是难点,因此作为一个学习目录的话可能会好很多),单纯这是笔者简单记一些笔记,顺便见证自己从0到0.1的过程吧,另外后面如果看到一些好的东西在学习完之后也会贴上链接,少了很多介绍性的东西,以后等厉害了再慢慢补充吧.当然如果感觉还不错的话,师傅们记得给个 Star 呀 ~

@Y4tacker

2021年10月18日,梦的开始


1.基础篇

2.反序列化

很早前学了,后面补上,更多是说一点关键的东西,不会很详细,好吧这里再拓展成反序列化专区好了

如果想系统学习的话这部分还是更推荐p牛的Java安全漫谈,我只是简单写写便于自己复习而已

3.Fastjson/Jackson专区

可以对比jackson简单学习下,这里我也会简单提一下jackson的一些利用,当然不会很详细,但是会简单列出一些触发原理,而且有些payload是共通的,这里也不以收集各个依赖下利用的payload为主

4.Weblogic专区(暂时不想看)

5.内存马学习专区

6.JavaAgent学习专区

后面因为一些原因打算更系统学习,感觉在这里面直接添加有点臃肿,故开了一个新的repo来记录整个学习阶段,移步RaspLearning

7.Struts2学习专区

一开始不想搞这个是因为很少人用了,后面想了一下可以具体看看struts2当中对OGNL策略如何做提升处理学学别人的绕过(Ps:不教怎么复现搭建环境)

后面突然觉得调试的过程很无聊我也不感兴趣,更感兴趣的是关于Struts当中Ognl的攻防所以后面更偏向于这方面研究,而不再具体跟踪中间的调用过程

8.关于Tomcat的一些小研究

9.JDBC Attack

关于Make JDBC Attacks Brilliant Again的简单记录,当我们在 JDBC Connection URL可控的情况下,攻击者可以进行什么样的攻击?这部分可以配合探索高版本 JDK 下 JNDI 漏洞的利用方法来进行拓展攻击

10.关于JNDI的整理

因为比较重要单独列出来了

11.Spring

12.Shiro

这里再贴一个小笔记:Class.forName不支持原生类型,但其他类型都是ok。Class.loadClass不能加载原生类型和数组类型,其他类型也都ok

13.回显相关技术学习

14. JSPWebshell

15.Waf

16.漏洞复现

17.模板引擎相关

18.各框架对URI处理的特性及Trick

19.Hacking FernFlower Decompiler(准备上议题后放)

如何影响idea反编译但不影响代码执行,暂时不想放出来,之后会放出来

20.ASM与JVM学习

其他分享

比赛反思

特地加了一栏吧,希望从比赛当中了解Java相关的东西学习一些新的点!

环境

Todolist

注意事项

  • 本仓库仅用于合法合规用途,严禁用于违法违规用途。
  • 本工具中所涉及的漏洞均为网上已公开。

优质博客

更多

About

a rep for documenting my study, may be from 0 to 0.1

Resources

License

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published

Languages

  • Java 93.9%
  • HTML 2.7%
  • Dockerfile 1.8%
  • Python 1.4%
  • Shell 0.2%