声明该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 &nb...
畅捷通T+ net反序列化漏洞
0x01 阅读须知凯撒安全实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算...
九维团队-绿队(改进)| PHP反序列化简介、安全开发及防御建议
一、PHP反序列化简介 php 反序列化基本上是围绕着serialize()、unserialize()这两个函数展开的,还有PHAR协议用于解析 phar 文件、phar 文件的 meta-data...
洞见简报【2023/6/25】
2023-06-25 微信公众号精选安全技术文章总览洞见网安 2023-06-250x1 BootCDN 风险预警,多个资源被植入后门代码墨菲安全实验室 2023-06-25 20:56:0...
Java 反序列化之 XStream 反序列化
0x01 XStream 基础 XStream 简介 XStream 是一个简单的基于 Java 库,Java 对象序列化到 XML,反之亦然(即:可以轻易的将 Java 对象和 XML 文档相互转换...
金蝶云星空RCE漏洞复现
免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。 文章正文 0x01 产品简介 金蝶云星空是一款...
Nacos JRaft Hessian 反序列化 RCE 分析
参考链接http://www.bmth666.cn/bmth_blog/2023/06/14/Nacos-Jraft-Hessian%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%...
漏洞预警 | Solon反序列化漏洞
0x00 漏洞编号CVE-2023-358390x01 危险等级高危0x02 漏洞概述Solon是一个轻量级的Java基础开发框架,它从零开始构建,有自己的标准规范与开放生态。Solon相较于Spri...
Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )
2023 Aliyun CTF ezbean 是一道 CTF java 反序列化题目。题目的目的是让选手通过一个 java 原生反序列化入口,最终达成 RCE。本文对题目的几种解法做了具体的分析,主要...
漏洞风险提示|金蝶云星空远程代码执行漏洞
金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。近期,长亭科技监测到微步在线发布一则漏洞通告,声明金蝶云星空发布补丁修复了一处反序列化导...
利用Python反序列化运行加载器实现免杀
前言前几天在看Python的shellcode加载器,在网上找了一个,结果加载器自身就过不了火绒,测试发现是火绒对关键语句进行了识别。所以我们要想办法去掉加载器中明显的特征。原理及实现在绕过静态查杀方...
Nacos JRaft Hessian 反序列化分析详情
声明:Poker安全公众号文中涉及到的技术和工具,仅供学习交流使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。0x00 前言5月25日 Nacos 发布一条安全公告,声...
58