Cristrik010的个人博客

源代码的编译和链接 编译：由C语言代码生成汇编语言 汇编：由汇编代码生成机器码 链接：将多个机器码的目标链接成一个可执行文件 可执行文件什么是可执行文件可执行文件（Executable file）是一种计算机文件，它包含了一组计算机指令和数据，可以直接在特定的操作系统中运行。可执行文件通常用于执行特定任务或应用程序。 Windows：PE 可执行文件：.exe 动态链接库：.dll 静态链接库：.lib Linux：ELF 可执行文件：.out 动态链接库：.so 静态链接库：.a 名称 内容 ELF头部（ELF Header） 位于文件的开头，包含了描述整个ELF文件的基本信息。其中包括魔数、ELF文件类型、架构类型、入口地址、段表和节表的偏移等。 程序头表（Program Header Table） 包含了描述程序运行时所需的各个段（Segment）的信息。例如，代码段、数据段、动态链接段等。每个段的大小、虚拟内存地址、文件偏移等信息都存储在程序头表中。 节头表（Section Header Table） 包含了描述各个节（Section）的信息。节是 ...

字节码通常来说就是JVM可以识别的代码文件。 URLClassLoader加载字节码正常情况下，Java会根据配置项sun.boot.class.path和java.class.path中列举到的基础路径（这些路径是经过处理后的java.net.URL类）来寻找.class文件来加载，而这个基础路径有分为三种情况： URL未以斜杠/结尾，则认为是一个JAR文件，使用JarLoader来寻找类，即为在Jar包中寻找.class文件 URL以斜杠/结尾，且协议名是file，则使用FileLoader来寻找类，即为在本地文件系统中寻找.class文件 URL以斜杠/结尾，且协议名不是file，则使用最基础的Loader来寻找类 这里可以启动一个http服务： 1python -m http.server 80 在执行此命令的目录下放置编译好的class文件： 12345678910public class Exploit { public Exploit() throws Exception { Runtime.ge ...

CC1在高版本下不能使用，但是CC6做到了高版本兼容。在CC6中绘制出流程图如下： TiedMapEntry在LazyMap中的get()方法中调用了transform()这个方法，所以向上查找LazyMap.get()引用，找到了TiedMapEntry这个类。这个类中有以下三个方法： 12345678910111213public TiedMapEntry(Map map, Object key) { super(); this.map = map; this.key = key;}public Object getValue() { return map.get(key);}public int hashCode() { Object value = getValue(); return (getKey() == null ? 0 : getKey().hashCode()) ^ (value == null ? 0 : value.hashCode()); } ...

简介Apache Shiro是⼀个功能强⼤且易于使⽤的Java安全框架，它⽤于处理身份验证，授权，加密和会话管理在默认情况下, Apache Shiro使⽤CookieRememberMeManager对⽤户身份进⾏序列化/反序列化,加密/解密和编码/解码,以供以后检索。 当Apache Shiro接收到未经身份验证的⽤户请求时 , 会执⾏以下操作来寻找他们被记住的身份。 从请求数据包中提取Cookie中rememberMe字段的值，对提取的Cookie值进⾏Base64解码 对Base64解码后的值进⾏AES解密 对解密后的字节数组调⽤ObjectInputStream.readObject()⽅法来反序列化。 但是默认AES加密密钥是“硬编码” 在代码中的。因此,如果服务端采⽤默认加密密钥,那么攻击者就可以构造⼀个恶意对象,并对其进⾏序列化,AES加密,Base64编码，将其作为Cookie中rememberMe字段值发送。Apache Shiro在接收到请求时会反序列化恶意对象,从⽽执⾏攻击者指定的任意代码。 shiro550 shiro < ...

方法一：Remote Linux debugger在IDA的/dbgsrv目录下有 将这两个文件移动到Linux环境下，然后赋予权限： 12chmod 777 linux_serverchmod 777 linux_server64 启动对应文件： 1./linux_server 此时Linux环境就准备好了，接下来配置IDA，选择Remote Linux debugger调试器，然后F9,此时会出现以下内容： 其中应用程序和输入文件均为调试文件在Linux下的路径(包括文件名)，目录则为上面的路径去掉文件名后的路径。主机名称为Linux的IP，端口默认23946。 注意：调试的程序也需要赋予权限 1chmod 777 xxx 方法二：Remote GDB debuggerGDB需要使用gdbserver来进行远程协助,首先启动服务： 1gdbserver localhost:port progress_name port：指定一个闲置端口 progress_name：这个随意取个名字即可 接下来在IDA中配置，IDA中按下F9： 应用程序和输入文件均为调试文 ...

环境配置JavaJava版本应在8u71之前，后续版本已经修复。java历史版本下载：https://www.oracle.com/java/technologies/javase/javase8-archive-downloads.html commons-collections该依赖版本应在3.1-3.2.1之间 源码在java安装路径下解压src.zip，然后下载sun的源码到src文件夹，可以在以下网址寻找对应版本的sun包：https://hg.openjdk.org/ IDEA首先安装好maven，新版默认绑定，然后插件会自动安装。新建一个maven的项目环境，之后项目结构会如下图所示： 在pom.xml中的<project>标签下导入依赖： 1234567<dependencies> <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</arti ...

HashMap的put查看HashMap这个类的 put()方法： 123public V put(K key, V value) { return putVal(hash(key), key, value, false, true);} 调用了 hash()方法，跟进 hash()方法： 1234static final int hash(Object key) { int h; return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);} 这里调用了传入参数的 hashCode()方法。而 URL类中就有一个这样的方法： 1234567public synchronized int hashCode() { if (hashCode != -1) return hashCode; hashCode = handler.hashCode(this); return hashCode;} 可 ...

Pass-01 上传shell.php，这里已经打开的BP进行抓包，但是点击上传后还没拦截到包就弹窗了，说明这是一个前端校验，那么这里可以选择禁用js或者BP拦截改后缀。 Pass-02第二关检查MIME(Content-Type)，那么直接BP拦截修改Content-Type请求头即可。 Pass-03 上传shell发现提示，那么选择大小写绕过，发现不行，那么试试php5。 成功上传。但是访问发现没有当成php文件进行解析。这里其实就涉及到php解析的相关知识了，虽然apache的服务器可以解析将文件作为php文件进行解释，但是这也不是绝对的。在apache的配置文件中找到：AddType application/x-httpd-php将注释解除变更为： AddType application/x-httpd-php .php .phtml .phps .php5 .pht就可以解析了。 保存然后重新载入配置文件即可解析该文件。 Pass-04看一眼源码: 123456789101112131415161718192021222324252627$is_upload = f ...