免责声明本公众号“猎洞时刻”旨在分享网络安全领域的相关知识,仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。本公众号中提供的所有内容都是基于作者的经验和知识,并仅代表作者个人的观点和意见。这...
『代码审计』ysoserial CB1 无依赖反序列化利用链分析
点击蓝字,关注我们日期:2024-03-11作者:ICDAT介绍:这篇文章主要是对 ysoserial CB1 的无依赖反序列化无利用链进行分析。0x00 前言我们上一篇文章分析了ysoserial中...
.NET 反序列化Xunit1Executor漏洞分析
01 Xunit1Executor漏洞复现 Xunit.Net 是一款 .NET平台免费开源的单元测试框架,常用于并行测试和数据驱动测试。目前支持 .Net Framework、.Net Core、....
复杂请求下的Shiro反序列化利用工具 Pyke-Shiro
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,...
网安简报【2024/3/8】
2024-03-08 微信公众号精选安全技术文章总览洞见网安 2024-03-080x1 简单学习.net反序列化ViewState利用頭髪的特計 2024-03-08 22:06:00本文介绍了在....
复杂请求下的Shiro反序列化利用工具
01工具介绍 Pyke-Shieo:Pyke衍生Shiro反序列化利用工具 作者:sma11new 由于其他Shiro工具对复杂请求支持比较差,因此在ShiroAtta...
CVE-2015-5254利用与分析
点击上方蓝字关注我 引言Java 消息服务(Java Message Service,JMS)应用程序接口是一个Java 平台中关于面向消息中间件(MOM)的API,用于在两个应用程序之间,或分布...
暗月渗透测试年终考核通关过程
免责声明:本公众号所提供的文字和信息仅供学习和研究使用,不得用于任何非法用途。我们强烈谴责任何非法活动,并严格遵守法律法规。读者应该自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公...
SolarWinds Security Event Manager AMF 反序列化 RCE (CVE-2024-0692)
前言 前几天刷推看到 ZDI 发了 SolarWinds Security Event Manager AMF 反序列化 RCE 的通告, 于是准备简单分析一下 https://www.zeroday...
一种ysoserial.jar 反序列化Payload的解码
0x00 前言小伙伴在分析告警的时候,发现反序列化告警,Payload类似AKztAA,不知道咋解,于是有了本文。ps: 本文首发于奇安信攻防社区,未经授权,严禁转载!0x01 文件头开始之前,先来复...
LDAP反序列化
0x01 前言最近又回顾了一下LDAP反序列化漏洞,之前没有做笔记,借着这次机会补上,从漏洞复现角度出发,学习漏洞原理。0x02 漏洞分析01 环境搭建老样子,我们先来搭建复现需要的环境,新建一个空的...
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)
一、漏洞概述漏洞名称 DataEase反序列化漏洞CVE IDCVE-2024-23328漏洞类型反序列化发现时间2024-03-04漏洞评分9.1漏洞等级高危攻击向量网络所需权限无利用难度低用...