爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

探究使用反射进行除Runtime的命令执行方法

该文档没有简介

2025-08-24 04:28:28

探究使用反射进行除Runtime的命令执行方法

# Java反射机制在命令执行中的高级应用 ## 概述在当今RASP(运行时应用自我保护)等安全产品防护严密的背景下，传统的`Runtime.getRuntime().exec(cmds)`调用方式已难以奏效。本文深入探讨如何利用Java反射机制实现更底层的命令执行方法，绕过安全防护。 ## 反射基础 ### 获取Class类对象 ```java // 使用Class.forName加载类 Class clazz = Class.forName("java.lang.Runtime"

2025-08-24 04:28:28

该文档没有简介

2025-08-24 04:27:42

# Java反射机制详解 ## 一、反射概念 Java反射是指在程序运行期间对于类的属性、方法、构造方法等进行动态访问和操作的机制。通过Java反射API，程序能够在运行期获取类的信息，操作类的属性、方法、构造方法，创建类的对象等。 **核心特点**：不适用new创建对象而访问类中方法的过程即可成为反射。 ## 二、反射相关包 Java反射的相关类位于 `java.lang.reflect.*` 包中。 ## 三、反射的作用 1. 获取任意类的名称、package信息、所有属性、方

2025-08-24 04:27:42

JAVA反序列化初食

该文档没有简介

2025-08-24 04:26:10

JAVA反序列化初食

# Java反序列化漏洞分析与利用 ## 基本概念 ### 序列化与反序列化 - **序列化**：将类实例转换为字节流的过程 - **反序列化**：将字节流转换回类实例的过程 - **关键方法**： - 序列化时自动调用`writeObject` - 反序列化时自动调用`readObject` ### 可序列化类的条件 1. 实现`java.io.Serializable`接口 2. 该类所有属性必须可序列化 3. 如果有属性不可序列化，必须使用`transient`关键字标记

2025-08-24 04:26:10

JNDI注入加RMI联合攻击并log4j2漏洞复现

该文档没有简介

2025-08-24 04:15:30

JNDI注入加RMI联合攻击并log4j2漏洞复现

# JNDI注入与RMI联合攻击及Log4j2漏洞复现技术文档 ## 1. 核心概念 ### 1.1 JNDI (Java命名和目录接口) - **定义**: Java Naming and Directory Interface，用于实现配置参数和代码解耦的规范 - **作用**: 允许将Java对象绑定到容器环境，通过名称关联对象 - **优势**: 实现低耦合、高内聚的设计 - **示例**: 数据库连接配置变更只需修改context.xml，无需修改DbUtil.java代码 ##

2025-08-24 04:15:30

Tomcat反序列化注入回显内存马

该文档没有简介

2025-08-24 04:14:50

Tomcat反序列化注入回显内存马

# Tomcat反序列化注入回显内存马技术研究 ## 前言传统Tomcat内存马技术（如Filter、Listener、Servlet等）存在文件落地问题，因为Web服务器在编译JSP文件时会生成对应的class文件。本文研究的是通过反序列化进行内存马注入，实现真正无文件落地的攻击技术。 ## 回显构造原理 ### 寻找请求变量存储位置在反序列化环境下无法直接获取request和response变量，需要寻找存储请求信息的变量。研究发现： ```java org.apache.c

2025-08-24 04:14:50

浅谈Docker逃逸

该文档没有简介

2025-08-24 04:13:37

浅谈Docker逃逸

# Docker逃逸技术全面解析与防御指南 ## 一、Docker逃逸概述 Docker逃逸是指攻击者从容器内部突破隔离限制，获取宿主机权限的过程。由于Docker本质上是Linux下的进程，通过NameSpace实现内核级别的环境隔离（文件、网络、资源），其隔离性弱于传统虚拟机，因此存在多种逃逸可能性。 ## 二、Docker环境检测方法在尝试逃逸前，需要确认当前环境是否为Docker容器： 1. **查找.dockerenv文件** - Docker环境下默认存在/.doc

2025-08-24 04:13:37

跳转到页