Java 的杂项 收录一些不知道怎么分类的，和 Java 相关的安全题，更多偏 CTF 吧。 1. JavaWeb 项目修改 web.xml 一般是项目有文件上传点时，如果它是一个 JavaWeb 项目，那么考虑修改其 web.xml（可以类比为修改 .htaccess），RCE 思路就是文件上传的思路。 补充一下 JavaWeb 的项目结构，首先是项目名文件夹，其中包含： css、html

RMI （Remote Method Invocation）反序列化漏洞 文章两年前写的，学的时候有印象，但是回头看的时候发现很痛苦，缺少自己的笔记基本等于要重学一遍，因此打算回头，重新整理一下，方便以后自己复习。 参考文章： su18 师傅的文章：https://su18.org/post/rmi-attack/ 白日梦组长师傅的文章：https://halfblue.github.io/2

Agent 内存马 有关 Agent 和 Javassist 的相关知识在上文中提到。 主要参考文章： https://su18.org/post/memory-shell/#java-agent-%E5%86%85%E5%AD%98%E9%A9%AC 1. 案例一 Behinder 冰蝎作者 rebeyond 师傅，他的项目提出了这种想法，在这个项目中，他 hook 了 Tomcat

Java 内存马 两年前粗略的学了一下，现在回过头来看，真的是啥也不会。 重新看，再难啃的骨头也要吃下，这种涉及代码的还得自己跟着走一遍 文章大体的内容基于 su18 师傅的文章： https://su18.org/post/memory-shell/#filter-%E5%86%85%E5%AD%98%E9%A9%AC 1. 基于 Servlet API 相关的 JSP 动态注册内存

Jenkins 漏洞 hw 期间遇到了 Jenkins 未授权，当时打了个 Shell 后就没有继续深入学习 Jenkins 相关的其他漏洞了。但是实习面试的时候面试官会问，因此这里学习一下。 CVE-2024-23897

Jackson 反序列化漏洞 先学的 Fastjson 的反序列化漏洞，最近的 DASCTF 中用到了 Jackson 的反序列化链，这里就趁热打铁，嘎嘎学。 主要参考以下文章： https://github.com/bfengj/CTF/blob/main/Web/java/Jackson/Jackson%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E5%9F%B