0x01 漏洞简述 随着RMI的进步一发展,RMI上的反序列化攻击手段正逐渐增多,该类漏洞最近正受到愈加广泛的关注。 RMI (Java Remote Method Invocation) 是Ja...
安全文章
安全文章
安全漏洞
Apache Solr反序列化远程代码执行漏洞分析(CVE-2019-0192)
0x01 漏洞描述 Solr 是Apache软件基金会开源的搜索引擎框架,其中定义的ConfigAPI允许设置任意的jmx.serviceUrl,它将创建一个新的JMXConnectorServe...
安全闲碎
使用自定义ClassLoader解决反序列化serialVesionUID不一致问题
0x01 背景 serialVesionUid不一致导致反序列化失败也算是Java反序列化漏洞利用比较常见的问题了。查了下资料,发现了各种各样的方法,但没有找到一种适合所有gadget的通用解决方案,...
安全漏洞
Fastjson漏洞复现
前言 前不久传的沸沸扬扬的FastJson反序列化漏洞,相信有不少企业都中招了,当然我司也未能幸免,基于次漏洞更具官方给的补漏措施,已完全可以避免在这不再阐述。本文就拿它从一个简单的FastJ...
安全文章
JAVA 8u20 反序列化漏洞分析
作者:天融信阿尔法实验室原文链接:https://mp.weixin.qq.com/s/TAjfHEJCvP-1yK2hUZlrbQ 一、前言 在JDK7u21中反序列化漏洞修补方式是在Annotat...
![[原]Fastjson漏洞修复参考](http://cn-sec.com/wp-content/themes/begin-lts-1/img/random/7.jpg)
安全文章
[原]Fastjson漏洞修复参考
Fastjson漏洞修复参考 1. 漏洞背景 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串...
安全文章
Apache Dubbo漏洞补丁绕过
2020年6月29日,阿里云应急响应中心监测到 CVE-2020-1948 Apache Dubbo反序列化漏洞补丁存在缺陷,可以绕过原有补丁并执行任意指令。 时间线 · 2020.06.23 监...
代码审计
FastJson入门介绍&&1.2.24利用链分析
FastJson介绍&入门 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Ja...
安全文章
JAVA反序列化 – FastJson组件
No.1 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章...
漏洞时代
Java反序列化时对象注入可以造成代码执行漏洞
这几天在zone看到了有人提及了有关于common-collections包的RCE漏洞,并且http://zone.wooyun.org/content/23849给出了具体的原...
漏洞时代
Apache Shiro Java 反序列化漏洞分析
Author: rungobier (知道创宇404安全实验室)Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它编号为550的 issue 中...
颓废's Blog
Weblogic反序列化远程代码执行漏洞exp(CVE-2019-2725)
利用点是weblogic的xmldecoder反序列化漏洞,只是构造巧妙的利用链对Oracle官方历年来对这个漏洞点的补丁绕过
