引言 在实际业务开发中,经常会对xml或者json类型的请求数据进行解析。例如微信扫码支付的功能,按照微信开发文档与支付平台进行数据交互就需要使用XML格式的数据。针对XML传...
SecIN安全技术社区
SecIN安全技术社区
安全文章
从Java RMI反序列化到内网沦陷
文章来源:酒仙桥六号部队前言在一个秋高气爽的上午,特别适合划水(mo yu)。九点半接到来自CBD的外卖早餐单,穿着黄色的工作服,走街串巷,四处奔走,一口气不带喘爬上38楼(毕竟坐的是电梯),登上城市...
安全文章
Liferay Portal 代码执行漏洞(CVE-2020-7961)复现
漏洞描述 近日,Code White公开了在Liferay Portal中发现的JSON反序列化高危漏洞,未授权的攻击者可以通过精心构造的恶意数据对API接口发起远程代码执行的攻击.Life...
安全文章
ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链
ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 测试环境 OS: MAC OS PHP: 5.4.45 ThinkPHP: 3.2.3 环境搭建 直接在Web目录下C...
安全文章
ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链
ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链测试环境OS: MAC OSPHP: 5.4.45ThinkPHP: 3.2.3环境搭建直...
安全开发
Java反序列化协议解析 一
年前开始研究Java反序列化,一直没有研究Java反序列化文件的格式。最近闲来无事,研究一下java反序列化文件的格式。扯这么多的原因主要是达成两个目标尝试使用python读取java反序列化文件,并...
安全文章
CVE-2020-26258&26259:XStream漏洞复现
上方蓝色字体关注我们,一起学安全!作者:蔷薇@Timeline Sec本文字数:899阅读时长:2~3min声明:请勿用作违法用途,否则后果自负0x01 简介XStream基于Java库,是一种OXM...
逆向工程
记一次对CTF青龙组历年真题的自我理解
打开题目,我们可以看到的是这样一个页面当我看到unserialize的时候 我知道了 这是一道PHP反序列化的题目了在这里我先说一下反序列化的常年事故:什么是反序列化:php程序为了保存和转储对象,提...
安全文章
一文带你用魔术方法开启RCE链
文章源自-投稿作者-挽梦雪舞扫描下方二维码进入社区:今天我们继续深入unserialize(),接着上文,我们已经讨论过PHP的反序列化如何导致漏洞,以及攻击者如何利用它来实现RCE攻击,现在让我们更...
安全文章
记一次实战中Shiro反序列化漏洞利用
一、Shiro反序列化漏洞发现0x01 与shiro失之交臂 还是上一篇文章的那个网站,从之前发的任意用...
安全漏洞
Python0 Pickle反序列化漏洞
沙漏安全团队欢迎真正热爱技术的你!前言刷题的时候做了一道ikun的题目,提示考察的知识点是Python Pickle,之前接触的都是有关PHP反序列化,这次就来好好学习一下Python Pickle反...
安全漏洞
(CVE-2020-7961)Liferay Portal RCE 反序列化命令执行漏洞
(CVE-2020-7961)Liferay Portal RCE 反序列化命令执行漏洞一、漏洞描述Liferay Portal CE是一款用来快速构建网站的开源系统。其7.2.0 GA1及以前的版本...
