《Java安全-只有Java安全才能拯救宇宙》Only Java Security Can Save The Universe.

一个LDAP请求监听器，摆脱dnslog平台

自己学习java安全的一些总结，主要是安全审计相关

🤗 JVM 底层原理最全知识总结

payloads

关于学习java安全的一些知识,正在学习中ing,欢迎fork and star

拿来即用的Tomcat7/8/9/10版本Listener/Filter/Servlet内存马，支持注入CMD内存马和冰蝎内存马

解决FastJson、Jackson、Log4j2、原生JNDI注入漏洞的高版本JDKBypass利用，探测本地可用反序列化gadget达到命令执行、回显命令执行、内存马注入

ZKar is a Java serialization protocol analysis tool implement in Go.

a rep for documenting my study, may be from 0 to 0.1

When MVC magic turns black

构造字节在ASCII范围内的jar

JRE8u20_RCE_Gadget

Parse HPROF files from the Spring Boot Heapdump Actuator

HeapDump敏感信息提取工具

对原版https://github.com/feihong-cs/JNDIExploit 进行了实用化修改

ysoserial修改版，着重修改ysoserial.payloads.util.Gadgets.createTemplatesImpl使其可以通过引入自定义class的形式来执行命令、内存马、反序列化回显。

通过JavaAgent与Javassist技术对JVM加载的类对象进行动态插桩，可以做一些破解、加密验证的绕过等操作

shiro反序列化漏洞综合利用,包含（回显执行命令/注入内存马）修复原版中NoCC的问题 https://github.com/j1anFen/shiro_attack

Spring Boot web application vulnerable to Log4Shell (CVE-2021-44228).

Spring Cloud Netflix Hystrix Dashboard template resolution vulnerability CVE-2021-22053

Additional materials for RootedCON 2015 Apache Struts talk

注入JVM进程 动态获取目标进程连接的数据库

PaddingZip is a tool that you can craft a zip file that contains the padding characters between the file content.

springboot跨线程注入内存马

Java安全相关的漏洞和技术demo，原生Java、Fastjson、Jackson、Hessian2、XML反序列化漏洞利用和Spring、Dubbo、Shiro、CAS、Tomcat、RMI、Nexus等框架\中间件\功能的exploits以及Java Security Manager绕过、Dubbo-Hessian2安全加固等等实践代码。

A tool to dump Java serialization streams in a more human readable form.