沉铝汤的破站

IS LIFE ALWAYS THIS HARD, OR IS IT JUST WHEN YOU'RE A KID

摆烂的吉他笔记

0x00 前言


浅摆一会(此笔记只适合对吉他有了初步认识的人看,大多都是一些乐理),懒狗本人为业余爱好者,所以可能把什么固调、首调,七音、十二音搞混了……过于复杂,欢迎指正。

靠前部分为乐理,吉他的练习方法放到了最后一部分。

推荐B站搜老姚吉他,感觉是网上看到过的最良心的教程了。部分内容参考《民谣吉他考级教程》,也是一本较好且适合零基础入门的书籍。

Java反序列化流程分析及resolveClass

0x00 前言


好不容易遇到一位专业的面试师傅,问的问题都是自己接触过的东西,但是不知道为什么,在面试的时候,脑子就一片空白,什么也不记得了……感觉没有把握好机会。不过这也说明自己确实还是不太熟悉吧,看来还是要经常复习和思考,避免”学而不思则罔“的尴尬,所以本文再来理一下反序列化的流程,并从原理上理解为什么重写resolveClass可以用来防御反序列化。

Java表达式注入之SpEL

0x00 前言


因为我突然意识到机械性的去跟进代码似乎没有意义,所以本文漏洞分析的重点在于总结挖掘SpEL注入的思路,以及对修复方式的深入思考

  • CVE-2022-22947
  • CVE-2022-22963
  • CVE-2022-22950
  • CVE-2022-22980

Java表达式注入之OGNL

0x00 前言


现在已经是自由人了,不用再被繁琐的工作拖累了,所以有了更多时间可以学习。说到OGNL注入,你肯定第一个想到的是Struts2,但是我这里并不打算直接从其入手。一是,光是分析他的修复历史以及绕过就要一大篇文章去写;二是,我想锻炼一下自己的漏洞分析能力,而Struts2系列,很多师傅已经写过了,所以本文我分析的漏洞基本上都是比较新的CVE。当然,我后面还是会专门写一篇Struts2漏洞文章的。

  • CVE-2022-26134漏洞分析