CVE-2015-4852 WebLogic T3 反序列化分析 前言 之前见过好多次WebLogic的漏洞，但是一直没来得及学（其实是懒），这段时间有来学习一下 环境搭建 构建镜像 环境配置中JDK版本和Weblogic版本如下 J

CVE-2025-6218 WinRAR路径穿越 漏洞情况 漏洞简介 RARLAB公司的WinRAR压缩软件中发现了一个严重安全漏洞，CVE-2025-6218（路径穿越漏洞），攻击者可通过构造恶意的压缩文件，实现在压缩文件解压时可以将文

基于SqlServer的SQL注入 前言 最近面试了几家实习，都问了基于SqlServer的SQL注入，所以今天想补一下基础。 SqlServer搭建 搭建SqlServer，我们的环境和版本如下： Windows Server 20

CVE-2025-24813 RCE复现 免责声明：本文只用作技术分析和学习，任何利用本文内容进行非法攻击的行为均与作者无关！！！ （也是写上免责声明了哈哈哈） 文章首发于https://www.freebuf.com/vuls/4250

Java反序列化绕WAF之加大量脏数据 WAF背景 大多数的WAF受限于性能影响，当request足够大时，WAF就可能因为性能原因而做出让步，超出检查长度的内容，将不会被检查。这一点在一些CTF的题目中有所体现。 虽然这样可以绕过检测，

Java反序列化打内存马 对于我们之前学习的Tomcat内存马，只算是做了一些简单的实验，并未能够完全应用，只能通过文件上传jsp的方式来注入内存马，也是存在文件落地的现象的，并非真正的内存马 所以这篇文章，我们来学习利用反序列化来实现真

Java回显技术 通过文件描述符回显 该回显方法是基于proc/self/fd/i的攻击 分析 在Linux环境下，可以通过文件描述符proc/self/fd/i获取到网络连接，在Java中我们可以直接通过文件描述符获取到一个Strea

Struts2 Struts2简介 Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是

SnakeYaml 今天该学习SnakeYaml这条链子了，大概看了一遍文章，相比于刚学的ROME，难度还是有的 前置基础 Yaml语法 根据了解，SnakeYaml是Java的yaml解析类库，支持Java对象的序列化与反序列化（看见和

C3P0 链 C3P0 组件介绍 C3P0是一个开源的JDBC连接池，它实现了数据源和JNDI绑定，支持JDBC3规范和JDBC2的标准扩展。目前使用它的开源项目有Hibernate，Spring等。 JDBC是Java DataBase