cr4eper's Home

HTB Pro_Labs Dante打靶记录外网部分入口点是10.10.110.0/24，我们先扫描开放的IP ┌──(root㉿kali)-[/home/kali] └─# nmap -sn 10.10.110.0/24 Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-02-10 01:15 EST Nmap scan report for 10.10.110.2 Host is up (0.43s latency). Nmap scan report for 10.10.110.100 Host is up (0.31s latency). Nmap done: 256 IP addresses (2 hosts up) scanned in 33.42 seconds 然后扫描下10.10.110.100这个ip,看下结果 ┌──(root㉿kali)-[/home/kali] └─# nmap -A ...

java反序列化基础序列化与反序列化的意义与php相同，都是为了将字符串对象什么的转化为字节流便于传输，但与php不同的是，java的反序列化是一个接口，表示这个类，或是这个对象可以被反序列化，但具体实现是用ObjectInputStream 和ObjectOutputStream两个类来讲对象或字符串来转为字节流，这与php中的直接用serialize和unserialize来直接进行反序列化时有区别的。在这两个当中： ObjectOutputStream：代表对象输出流，它的writeObject(Object obj)方法可对参数指定的obj对象进行序列化，把得到的字节序列写到一个目标输出流中。 ObjectInputStream：代表对象输入流，它的readObject()方法从一个源输入流中读取字节序列，再把它们反序列化为一个对象，并将其返回。 所以在进行反序列化攻击时，前提都是你所寻找的攻击链上的各个类都实现了反序列化的接口。 攻击入口：常见的攻击入口时实现readObject或者重写readObject方法的位置，但是，只要是能由用户自主控制参数，并且进行反序列化的位 ...