保持谦逊

# Typecho Blogging Platform Typecho is a PHP-based blog software and is designed to be the most powerful blog engine in the world. Typecho is released under the GNU General Public License 2.0. Link address：https://github.com/typecho/typecho/ This open source project has an

# URLDNS 链分析 URLDNS 链是 ysoserial 中的一条利用链，通常用于监测是否存在 Java 反序列化漏洞，该链有如下特点： 1、不限制 jdk 版本，使用 java 内置的类，无第三方依赖要求 2、目标无回显，可通过 DNS 请求验证是否存在反序列化漏洞 3、该条链只能用来发起 DNS 请求，不能够进行其他利用 该条链子的漏洞的 sink 点为 Java 内置的 java.net.URL 类，该类的 hasCode() 方法会调用 getHostAddress() 方法对目标 host 进行 DNS 解析请求 首先来看下 hasCode() 方法，该方法在内部

# Fastjson-1.2.24 影响版本： fastjson <= 1.2.24 描述：fastjson 默认使用 @type 指定反序列化任意类，攻击者可以通过在 Java 常见环境中寻找能够构造恶意类的方法，通过反序列化的过程中调用的 getter/setter 方法，以及目标成员变量的注入来达到传参的目的，最终形成恶意调用链。 payload: { "@type": "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl", "

Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub. # Quick Start # Create a new post h$ hexo new "My New Post"More info: Writing # Run server h$ h