# ofcms代码审计详细分析#CTL{\n}#CTL{\n}## 环境搭建#CTL{\n}#CTL{\n}首先去下载cms的源码，这里我下载的是1.13版本的源码#CTL{\n}#CTL{\n}```java#CTL{\n}https://gitee.com/oufu/ofcms/tree/V1.1.3/#CTL{\n}```#CTL{\n}#CTL{\n}#CTL{\n}![](https:/

docker逃逸docker.sock挂载逃逸基础知识Docker Client 和 Docker DaemonDocker Client：这是用户通过命令行与 Docker 进行交互的工具（例如你输入的 docker run 命令）。它提供了一个用户界面来管理 Docker 容器和镜像。Docker Daemon：后台运行的服务（进程），负责管理 Docker 容器的创建、运行、停止等

java反序列化底层探究前言学到weblogic和一些调用链的细节的时候，发现反序列化底层理解还是非常重要的，因为很多绕过手法和黑名单的禁用都是根据底层来进行的DEMOimport java.io.*;public class Main { public static class Demo implements Serializable { transient Stri

java安全之jndi代码调试分析(附总结图)基础知识InitialContext类InitialContext 类用于读取 JNDI 的一些配置信息，内含对象和其在 JNDI 中的注册名称的映射信息InitialContext initialContext = new InitialContext(); // 初始化上下文,获取初始目录环境的一个引用lookup(String name) 获取

PHP免杀基础学习可变参数$_GET$_POST$_COOKIE$_REQUEST$_SERVER 其中的某些参数可控,如REQUESTMETHOD,QUERYSTRING,HTTPUSERAGENT等session_id() 这个比较特殊,但是依然可以利用$_FILE$GLOBALSgetallheaders()get_defined_vars()get_defined_functions()

JDBC反序列化原理和调用链细节分析mysql基础知识JDBC简介JDBC（Java Database Connectivity，Java 数据库连接）是 Java 语言中用来规范客户端如何访问数据库的应用程序接口，提供了诸如查询和更新数据在内的方法。JDBC 提供了一种基准，据此可以构建更高级的工具和接口，使数据库开发人员能够编写数据库应用程序。在 JDBC 中，有四种主要的接口：Driver

java反序列化之CB从原理到细节CB1环境搭建pom.xml commons-beanutils commons-beanutils 1.9.2 ` 1 commons-logging commons-logging 1.2

fastjson底层分析前言我们平常不得不了解一种数据就是json数据，而在java中，处理这数据的两种主流的一种是fastjson，一种是jackson简单给大家说一下他们两个fastjsonhttps://github.com/alibaba/fastjsonFastjson 是一个 Java 库，可用于将 Java 对象转换为 JSON 表示形式。它还可用于将 JSON 字符串转换为等效的

# thinkphp6.0反序列化的一些细节和POC#CTL{\n}#CTL{\n}## 前言#CTL{\n}#CTL{\n}这也是自己分析的第一个反序列化，所以会分析得比较的详细一些#CTL{\n}#CTL{\n}## 调用链逻辑#CTL{\n}#CTL{\n}老样子，tp反序列化入口wakeup或者__destruct()方法#CTL{\n}#CTL{\n}全局搜索一下#CTL{\n}#CTL

利用原因Rome 提供了 ToStringBean 这个类，提供深入的 toString 方法对JavaBean进行操作。环境搭建<dependencies> <dependency> <groupId>rome</groupId>