CurlySean's Blog

2025-08-26

Java

Jackson反序列化 Jackson基础 Jackson介绍 Jackson 是一个开源的Java序列化和反序列化工具，可以将 Java 对象序列化为 XML 或 JSON 格式的字符串，以及将 XML 或 JSON 格式的字符串反序列化

2025-08-19

JDK7u21

Java

JDK7u21 前言好久之前的文章了，忘记发了环境配置只需JDK7u21 JDK7u21攻击链分析 JDK7u21的核心 JDK7u21的核心点就是`sun.reflect.annotation.AnnotationInvoc

2025-08-15

H2-JDBC-Attack

Java

H2-JDBC-Attack 前言最近看了看了一些数据库驱动，想起来经常利用的H2数据库的驱动，但是还没分析过源码，所以今天来浅析一下漏洞介绍 H2数据库是一款用Java编写的轻量级开源关系型数据库，支持嵌入式和服务器模式。它以其高

2025-08-14

Redis未授权

Web

Redis未授权好早以前写的文章了在之前打比赛时，遇到一个redis未授权访问的题目，搜搜索索写进去文件了，但是最后没搞出来，好可惜了，所以学了学Redis 漏洞前置基础漏洞原理 Redis在默认情况下，会绑定0.0.0.0:63

2025-08-07

PostgreSQL-JDBC-Attack

Java

PostgreSQL-JDBC-Attack 前言之前学习过通过Mysql驱动进行JDBC反序列化，最近有听到JDBC不出网的利用方式，今天来学习一下 PostgreSQL-JDBC RCE PostgreSQL Diver出网利用影

2025-08-06

Spring内存马

Java

Spring内存马前言 Spring内存马常见的有两种，Controller内存马和Interceptor内存马，有了前面学习Tomcat的Filter、Servlet、Listener和Valve内存马的学习，学习Spring内存马感

2025-08-05

Agent内存马

Java

JavaAgent内存马前言基于Tomcat的内存马类型有四种：Filter、Servlet、Listener和Agent。在之前的面试中，有个问题是：如果不是基于Tomcat的Java网站，该如何注入内存马。当时没有了解到Agen

2025-08-04

Groovy脚本执行

Java

Groovy脚本执行前言在审计一套源码的时候，mt告诉我的漏洞中，有一个从来没见过没听过的漏洞 —— Groovy脚本执行，今天简单看一下吧导入依赖如下： 12345<dependency> <groupId&g

2025-07-31

Java中的模板注入

Java

Java中的模板注入前言最近在审计系统的时候，复现一个SSTI模板注入的漏洞，感觉SSTI的危害程度挺高的，因为感觉不是很了解原理，所以详细来学习一下SSTI漏洞模板注入漏洞 SSTI（服务器端模板注入），在模板引擎解析模板时，因

2025-07-30

Java

Java反序列化Gadget探测前言之前面试的时候，有问过我：”在黑盒测试中，找到一个反序列化过程的点，你该怎么找可用的Gadget“，当时不太清楚有这种方式，回答所有gadget都爆破一下……今天来看一下如何用URLDNS链探测可用