前言本地环境搭建Fastjson 使用 将对象序列化为json字符串 将json字符串反序列化为对象反序列化漏洞成因及利用链 漏洞成因 TemplatesImpl 反序列化链 ...
反序列化杂记
概念简而言之,序列化是把对象转化成字节码,反序列化则是将字节码恢复为对象。序列化需要使用到ObjcetOutputStream类的writeObeject函数,可以ObjectOutputStream...
Java安全攻防之ActiveMQ从Broker到Consumer
前言上周ActiveMQ的漏洞利用已经有了多篇文章分析了,比较麻烦的在于公开的文章都是通过修改activemq代码实现的漏洞利用。所以我们也分析了这个漏洞,希望能够写出更加简单的exploit。漏洞分...
010-实战Java篇-颇为简单的一次审计getshell
010-实战Java篇-颇为简单的一次审计getshell文章前言年少而不可得之人,终会困我一生本文记录的是:在一次授权渗透测试中从信息收集、源码审计到利用SQL注入、XXE、文件上传最终getshe...
java-SQL注入(java sec code)
sql注入 在常见的网络应用漏洞中,SQL注入漏洞较为常见,危害大。攻击者一旦利用系统中存在的SQL注入漏洞来发起攻击,在条件允许的情况下,不仅可以获取整站数据,还可通过进一步的渗透 来获取服务器权限...
零基础搭建java靶场
java代码靶场环境 从零开始学习java 代码审计那么就需要找到一个很好的靶场,那么这个靶场就是java sec code 首先如果没有学过java 或者是java 环境搭建的人来说 ,搭建一个j...
shiro反序列化漏洞原理分析以及漏洞复现
扫码领资料获网安教程免费&进群Shiro-550反序列化漏洞(CVE-2016-4437)漏洞简介shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞,造成...
Asp.net的反序列化攻击链分析
点击蓝字关注我们声明本文作者:Z3eyOnd本文字数:3000+阅读时长:30~40分钟附件/链接:点击查看原文下载本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载由于传播、利用此文所提供的信息...
005-学习记录篇-一文读懂dotnet代码审计
开发模式目前,ASP.NET中两种主流的开发方式是:ASP.NET Webform和ASP.NET MVC。WebForm开发模式WebForm模型:aspx负责显示,服务器端的动作就是在aspx.c...
JAVA代码审计之XXL-Job默认token(XVE-2023-21328)分析
前言划,狠狠划。免责声明:本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关。注意:本免责声明旨在明确指出,本文仅为技术交流、学习和...
0基础入门代码审计-9 变量覆盖
日常记录,仅供收藏,用时不慌。0x01 漏洞描述变量覆盖是指可以用自定义的参数值替换程序原有的变量值。该漏洞通常需要结合程序的其他功能来实现完整攻击,比如原本一个文件上传页面,限制的文件扩展名白名单列...
原创 | 深度剖析GadgetInspector执行逻辑(上)
GadgetInspectorG该类是这个项目的主类首先就是配置日志格式这里是使用的log4j进行控制台日志的输出,分别设置了了布局格式/日志级别/激活配置 等等操作之后在主类中就是进行GIConfi...
125