一篇入门java反序列化漏洞 在探索一个技术时,我们经常会遇到众多资源和文章,但并非所有的内容都是用户友好或深入浅出的。尽管网络上关于某些主题的文章众多,但很多往往缺乏细致的解释和深入的理解。仅仅通过...
FileUpload1反序列化漏洞(学习笔记)
commons-fileupload的简介FileUpload包可以很容易地添加强大的,高性能,文件上传到你的Servlet的Web应用程序的能力。FileUpload解析HTTP请求符合RFC 18...
冰蝎插件-支持注入内存马和Bypass WAF
安全工具 01 工具介绍 支持注入内存马和Bypass WAF命令执行 注入内存马 传入inject编码后的Base64进行注入冰蝎内存马 POST /plugin/customMethod HTT...
支持注入内存马和Bypass WAF(1个小时前更新)
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,...
2023 中华武术杯 Web Writeup
2023 中华武术杯 Web Writeup (AWDP + 靶场)AWDPAerocraftsfastjson 1.2.83 + redisauth 路由传入 password 的时候没有限制 CR...
Github投毒分析
今天看到团队有兄弟说github上有个exp像是有问题,刚刚就给他下载下来看了看了一下,以下是分析过程(不会逆向,正在学习,简单的看一下,不一定对):先把东西下载下来,发现有一堆文件,其中有个jar包...
Fastjson 68 commons-io AutoCloseable
前言 今天长亭公众号发了一个 fastjson commons-io AutoCloseable 的利用,正好我最近也在分析这个,看了一下,有相同的地方也有不同地方,那我也发出来一起学习交流吧。 我这...
反序列化漏洞的防御与拒绝服务
哆啦安全 ,赞 7 最近两个月我一直在做拒绝服务漏洞相关的时间,并收获了Spring和Weblogic的两个CVE(还有一些报告也许正在审核和修复中)但DoS漏洞终归是鸡肋洞,并没有太大的意义,比如之...
Java安全中Groovy组件从反序列化到命令注入及绕过和在白盒中的排查方法
反序列化Groovy : 1.7.0-2.4.3AnnotationInvocationHandler.readObject() Map.entrySet() (Proxy) ConversionHa...
Fastjson 68 commons-io AutoCloseable
前言 今天长亭公众号发了一个 fastjson commons-io AutoCloseable 的利用,正好我最近也在分析这个,看了一下,有相同的地方也有不同地方,那我也发出来一起学习交流吧。 我这...
Java代码审计之-IO小记
I/O(input/output)流,即输入输出流。定义在java.io包中。分类:1、字节流和字符流----数据单位不同2、输入流和输出流----传输方向不同3、节点流和处理流----功能不同节点流...
初识Java反序列化
前言 研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。 大致内容如下: 序列化和反序列化示例 序列化数据组成解构 反序列化漏洞形成...