SecIN安全技术社区 在XML中测试Fastjson反序列化 引言 在实际业务开发中,经常会对xml或者json类型的请求数据进行解析。例如微信扫码支付的功能,按照微信开发文档与支付平台进行数据交互就需要使用XML格式的数据。针对XML传... 13小时前 10 views 发表评论 阅读全文
安全文章 从Java RMI反序列化到内网沦陷 文章来源:酒仙桥六号部队前言在一个秋高气爽的上午,特别适合划水(mo yu)。九点半接到来自CBD的外卖早餐单,穿着黄色的工作服,走街串巷,四处奔走,一口气不带喘爬上38楼(毕竟坐的是电梯),登上城市... 01月12日 32 views 发表评论 阅读全文
安全文章 Liferay Portal 代码执行漏洞(CVE-2020-7961)复现 漏洞描述 近日,Code White公开了在Liferay Portal中发现的JSON反序列化高危漏洞,未授权的攻击者可以通过精心构造的恶意数据对API接口发起远程代码执行的攻击.Life... 01月11日 26 views 发表评论 阅读全文
安全文章 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 测试环境 OS: MAC OS PHP: 5.4.45 ThinkPHP: 3.2.3 环境搭建 直接在Web目录下C... 01月08日 43 views 发表评论 阅读全文
安全文章 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链测试环境OS: MAC OSPHP: 5.4.45ThinkPHP: 3.2.3环境搭建直... 01月08日 38 views 发表评论 阅读全文
安全开发 Java反序列化协议解析 一 年前开始研究Java反序列化,一直没有研究Java反序列化文件的格式。最近闲来无事,研究一下java反序列化文件的格式。扯这么多的原因主要是达成两个目标尝试使用python读取java反序列化文件,并... 12月28日 54 views 发表评论 阅读全文
安全文章 CVE-2020-26258&26259:XStream漏洞复现 上方蓝色字体关注我们,一起学安全!作者:蔷薇@Timeline Sec本文字数:899阅读时长:2~3min声明:请勿用作违法用途,否则后果自负0x01 简介XStream基于Java库,是一种OXM... 12月25日 58 views 发表评论 阅读全文
逆向工程 记一次对CTF青龙组历年真题的自我理解 打开题目,我们可以看到的是这样一个页面当我看到unserialize的时候 我知道了 这是一道PHP反序列化的题目了在这里我先说一下反序列化的常年事故:什么是反序列化:php程序为了保存和转储对象,提... 12月22日 78 views 发表评论 阅读全文
安全文章 一文带你用魔术方法开启RCE链 文章源自-投稿作者-挽梦雪舞扫描下方二维码进入社区:今天我们继续深入unserialize(),接着上文,我们已经讨论过PHP的反序列化如何导致漏洞,以及攻击者如何利用它来实现RCE攻击,现在让我们更... 12月21日 50 views 发表评论 阅读全文
安全文章 记一次实战中Shiro反序列化漏洞利用 一、Shiro反序列化漏洞发现0x01 与shiro失之交臂 还是上一篇文章的那个网站,从之前发的任意用... 12月21日 63 views 发表评论 阅读全文
安全漏洞 Python0 Pickle反序列化漏洞 沙漏安全团队欢迎真正热爱技术的你!前言刷题的时候做了一道ikun的题目,提示考察的知识点是Python Pickle,之前接触的都是有关PHP反序列化,这次就来好好学习一下Python Pickle反... 12月21日 42 views 发表评论 阅读全文
安全漏洞 (CVE-2020-7961)Liferay Portal RCE 反序列化命令执行漏洞 (CVE-2020-7961)Liferay Portal RCE 反序列化命令执行漏洞一、漏洞描述Liferay Portal CE是一款用来快速构建网站的开源系统。其7.2.0 GA1及以前的版本... 12月19日 42 views 发表评论 阅读全文