Skip to content

Commit 3d555eb

Browse files
committed
bug
1 parent 01db7f5 commit 3d555eb

2 files changed

Lines changed: 10 additions & 4 deletions

File tree

fastjson/README.md

Lines changed: 3 additions & 3 deletions
Original file line numberDiff line numberDiff line change
@@ -40,7 +40,7 @@
4040

4141
第一种是`TemplatesImpl`类加载字节码做到不出网利用,但需要开启特殊参数实战鸡肋
4242

43-
第二种方式是服务端存在在`tomcat###dbcp.jar`情况下,使用`BasicDataSource`配合`BCEL`可实现不出网`RCE`
43+
第二种方式是服务端存在在`tomcat-dbcp.jar`情况下,使用`BasicDataSource`配合`BCEL`可实现不出网`RCE`
4444

4545

4646

@@ -89,7 +89,7 @@ Fastjson默认会去除键值外的空格、\b、\n、\r、\f等字符,同时
8989
```json
9090
{
9191
"regex":{
92-
"$ref":"$[\blue = /\^[a###zA###Z]+(([a###zA###Z ])?[a###zA###Z]*)*$/]"
92+
"$ref":"$[\blue = /\^[a-zA-Z]+(([a-zA-Z ])?[a-zA-Z]*)*$/]"
9393
},
9494
"blue":"aaaaaaaaaaaaaaaaaaaaaaaaaaaa!"
9595
}
@@ -114,6 +114,6 @@ Fastjson默认会去除键值外的空格、\b、\n、\r、\f等字符,同时
114114

115115
简单来说,直接搜对应项目中`JNDI``lookup`方法,可以基于`ASM`解压分析`Jar`包,这种半自动结合人工审核的方式其实很好用(之前挖到过几个)
116116

117-
进一步来说,全自动的方式可以使用`codeql``gadget###inspector`工具来做,主要是加入了污点传递,分析`getter/setter`参数如何传递到`lookup`
117+
进一步来说,全自动的方式可以使用`codeql``gadget-inspector`工具来做,主要是加入了污点传递,分析`getter/setter`参数如何传递到`lookup`
118118

119119
关闭全自动分析原理,一般面试官不会问太深入,因为可能涉及到静态分析相关的技术,普通安服崽的面试不会太过深入,如果是实验室可能需要再学习一下

memshell/README.md

Lines changed: 7 additions & 1 deletion
Original file line numberDiff line numberDiff line change
@@ -97,4 +97,10 @@ Java Agent内存马:这种方式不仅限于`Tomcat`或`Spring`
9797

9898
可以从常见的类名入手:Requst、ServletRequest、RequstGroup、RequestInfo、RequestGroupInfo等等
9999

100-
可以参考c0ny1师傅的`java-object-searcher`项目,半自动搜索`request`对象
100+
可以参考c0ny1师傅的`java-object-searcher`项目,半自动搜索`request`对象
101+
102+
103+
104+
### 是否了解Spring Cloud Gateway如何注入内存马(★★★★)
105+
106+
参考`c0ny1`师傅的文章,由于`Spring Cloud Gateway`并不基于`Tomcat`而是基于`Netty`框架,需要构造一个`handler`用作内存马。另外的思路是构造上层的内存马,也就是基于`Spring`的内存马,向`RequestMappingHandlerMapping`中注入新的映射。具体代码使用到了`Sping`的一些工具类,在`SPEL`中反射调用了`defineClass`以达到执行代码的效果

0 commit comments

Comments
 (0)