0x0 简介 GadgetInspector是JackOfMostTrades在2018 BLACKHAT USA上发布的一个自动化反序列化链挖掘工具,它通过对字节码形式的JAVA项目进行污点分析,挖...
03月18日安全开发8 views评论gadget
loader
GadgetInspector原理分析
03月18日安全开发8 views评论gadget
loader
03月18日安全开发8 views评论gadget
loader
细谈使用CodeQL进行反序列化链的挖掘过程
前言 学习了一下CodeQL的各种使用方式,决定使用CodeQL细谈一下CC链挖掘,通过一步一步的朝着我们既定的目标进行靠近,最终成功的找到了一条鸡肋的二次反序列化的入口 :sob::sob::sob...
03月12日10 views细谈使用CodeQL进行反序列化链的挖掘过程已关闭评论ble
SecIN安全技术社区
到底如何利用JNDI?
在log4j2漏洞之后很多人常常可以借助扫描器发现JNDI漏洞,却对利用JNDI感到很棘手,这篇文章就从实际出发,尽量少的讲原理,一步一步教你如何利用JNDI漏洞。首先,JNDI分两种协议,一种rmi...
02月21日16 views评论logj
反序列化
细谈使用CodeQL进行反序列化链的挖掘过程
点击蓝字关注我们前言学习了一下CodeQL的各种使用方式,决定使用CodeQL细谈一下CC链挖掘,通过一步一步的朝着我们既定的目标进行靠近,最终成功的找到了一条鸡肋的二次反序列化的入口😭😭😭😭前奏Co...
02月10日17 views评论codeql
help
使用 Fuzztag 一键爆破反序列化链
背景 Yakit 新增的 Yso-Java-Hack 功能可以让我们生成反序列化利用的 payload ,通过图形化的方式简化了生成 payload 的过程,但发包过程由于需要针对不同的目标...
12月23日36 views评论payload
代码执行
C3P0反序列化链浅析
C3P0反序列化链浅析0x0 前言 关于C3P0反序列化链也许被很多人忽视了,网上与此相关的分析相对而言也较少,给人一种第一眼鸡肋的感觉,但是笔者有过切身经历,通过Fuzz的手段利用这个链打成功了某...
10月01日12 views评论反序列化
序列化
Weblogic漏洞利用图形化工具 WeblogicExploit-GUI
项目作者:sp4zcmd项目地址:https://github.com/sp4zcmd/WeblogicExploit-GUI一、工具介绍支持注入内存马、一键上传webshell、命令执行二、安装与使...
07月01日654 viewsWeblogic漏洞利用图形化工具 WeblogicExploit-GUI已关闭评论webshell
数据库
以迷宫类比PHP反序列化链
一 、本文核心如果以迷宫类比反序列化漏洞,__destruct()与__toString()就是入口;__call、同名类、call_user_func_array、call_user_func为路径...
06月07日8 views评论data
php