01前言SELinux(Security-Enhanced Linux-安全增强型Linux),是一个在Linux内核中实践的强制存取控制安全性机制,也是Linux的一个安全子系统。02基本...
Java安全中Groovy组件从反序列化到命令注入及绕过和在白盒中的排查方法
反序列化Groovy : 1.7.0-2.4.3AnnotationInvocationHandler.readObject() Map.entrySet() (Proxy) ConversionHa...
CVE-2022-39197分析
一、 swing漏洞大家最近一定被CobaltStrike漏洞刷屏了,我是先写了fastjson1.2.80的漏洞再去看CobaltStrike,但已经被别人分析的...
Fastjson基本用法
扫一扫关注公众号,长期致力于安全研究前言:在分析其漏洞之前,应先对该应用有个基本的了解和使用。本文是笔者之前从网上搜到的资料..来自于Y4师傅0x01 简介Fastjson是Alibaba开...
JAVA安全|Gadget篇:URLDNS链
0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识,构建自己的java知识体系,并实际地将java用起来,达到熟练掌握ja...
使用bloodyAD对域属性进行查询与修改
对域属性进行查询与修改使用bloody AD项目地址:https://github.com/CravateRouge/bloodyAD该工具有如下一些功能:- delObject :删除对象- add...
二次反序列化 看我一命通关
前言 不记得是哪一场比赛了,遇到了一个 Java 的题目,过滤了很多关键类,不管茯苓把 CC 链如何拆开组合,都没有办法绕过。 就在此时,大佬看了一眼说,用二次反序列化就可以绕过了。“二次反序列化”这...
浅谈JAVA反序列化原理
猩红实验室 欢迎投稿分享交流  ...
远控免杀专题(54)-白名单SyncAppvPublishingServer.vbs执行payload
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!声明:文中所涉及的技术、思路和工...
Ysoserial Part 1 —— 源码分析
开个坑,还没有很整体的看过ysoerial里面的链,打算拿出点时间来看。今天首先整体看下ysoserial的整体源码结构。大概看了下,没有对每个类进行很细致看,后面会对每个链进行逐一分析。Ysoser...
利用ViewState在ASP.NET中实现反序列化RCE
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此...
Malibot分析
在浏览安全客时发现,Malibot伪装成钱包和浏览器以便窃取数据。于是火速从Malwarebazzar下个样本,开始分析。样本信息样本格式sha256malibotapkb12dd66de4d180d...
13