简介​ 主要是我和springkill今年研究成功的一部分。 2024补天大会参会议题。

简介​ 主要是我和springkill研究成功的一部分。 2025补天沙龙城市参会议题。复现demo的地址https://github.com/unam4/c3p0explore spring4shell 复现​ 原理见ppt ​ 这里以jndi 复现，也可以使用反序列化复现 启动jndi服务 成功打入第一个 然后一次打入pv1-pv5 打完后会在root

前言​ 最近黑神话悟空火热，大家都开启二周目。现在正直网安特殊时间，时间较多，随准备重走一遍反序列取经路，看看有没有新的触发方式，记录一下，方便以后直接使用。 0x01 commons.collections (map.get)​ 最经典的反序列化gadget，触发点 LazyMap.get 这里LazyMap可以换成DefaultedMap (3.1没有这个类) 1234LazyMap

found by：unam4 and SpringKill 0x01 Vulnerability description​ Hello, we found a remote command execution vulnerability in hertzbeat 1.6.0. In JmxCollectImpl.java, JMXConnectorFactory.connect actually

0x01 利用tomcat 文件缓存以下两个包同时开启并发，利用 tomcat 临时缓存文件上传 Spring xml 文件 12345678910111213141516171819202122232425262728293031323334353637POST /jdbc HTTP/1.1Content-Type: multipart/form-data; boundary=----WebK

使Gadget Chain更加隐蔽原理在反序列化过程中，如果Gadget Chain的构造不当，可能会抛出异常，从而暴露攻击行为。为了使攻击更加隐蔽，需要深入理解Gadget Chain的代码流程，避免抛出异常。 方法 处理Translet异常： 在使用Translet相关的Gadget Chain时，可能会抛出NullPointerException，可以通过初始化namesArray字段或设置

​ 分析shenyu-plugin/shenyu-plugin-mock/src/main/java/org/apache/shenyu/plugin/mock/generator/ExpressionGenerator.java 1234567891011121314151617181

0x01 影响版本3.6.14.1-3.41.2.1 0x02 分析org.sqlite.jdbc4.JDBC4Connection 构造函数的参数，public，然后调用super方法 org.sqlite.SQLiteConnection#SQLiteConnection(java.lang.String, java.lang.String, java.util.Properties) s

0x01 简介​ DeepSeek近期因未授权漏洞事件而引发严重的安全争议，该公司未加密的ClickHouse服务器，可以直接未授权访问。所以就有准备探索一下clickhouse这个数据库。 ​ ClickHouse是一个开源的列式数据库管理系统，专门设计用于在线分析处理（OLAP）场景。它由俄罗斯的Yandex开发，旨在高效处理大规模数据集并支持快速查询和实时数据分析。 安装 123456c

BB 学学大哥的文章，复现复现 0x01 derby复现poc准备一个恶意类 1234567import java.io.IOException;public class testShell4 { public static void exec() throws IOException { Runtime.getRuntime().exec("c