代码审计 - 第 136 | CN-SEC 中文网

代码审计

Fastjson反序列化汇总-下篇

Fastjson简介Fastjson是Alibaba开发的Java语言编写的高性能JSON库，用于将数据在JSON和Java Object之间互相转换，提供两个主要接口JSON.toJSONStrin...

05月08日65 views评论

阅读全文

代码审计

关于PHP的代码审计系列

关于PHP的代码审计系列0x02 PHP代码审计系列获取公众号后台回复“2258”获取往期推荐 ●●// 1｜五一活动，有你作伴！// 2｜JSPWebShell集合//...

05月08日27 views评论

阅读全文

代码审计

极致CMS建站系统代码审计之旅

0x001 前言标题为什么是代码审计之旅呢？相信很多人都有疑问，由于疫情原因居家办公了，暂时回不去，也为政府的防疫速度点赞，大路小路迅速封堵安排人员值守，我们为此还建了个群，半夜各个路口都有人员轮流值...

05月07日38 views评论

阅读全文

代码审计

ysoserial分析之C3P0利用链

0x01 前言这个也算是老洞重谈了吧，之前就准备写的，疫情在家人变懒了，就一直没写，相关技术文章也很多，不是为了重复造轮子，只是加上了点自己的理解，留作学习笔记，有分析不好的地方，还望大佬们多多包含。...

05月07日67 views评论

阅读全文

代码审计

从一道题看PHP反序列化字符串溢出

本文来自“白帽子社区知识星球”作者：末初白帽子社区知识星球加入星球，共同进步题目地址：http://www.bmzclub.cn/challenges#file-vault01目录扫描分析代码这是一道...

05月07日27 views评论

阅读全文

代码审计

JOOQ框架常见SQL注入场景

摘自https://forum.butian.net/share/1528JOOQ是一个ORM框架，利用其生成的Java代码和流畅的API，可以快速构建有类型约束的安全的SQL语句。本文主要介绍该框架...

05月07日60 views评论

阅读全文

代码审计

【yso】- CC4反序列化分析

前言继续学习CommonCollection4反序列化链。同CommonCollection2，和CommonCollection3两个反序列化链类似，CommonCollection4是通过Temp...

05月07日40 views评论

阅读全文

安全文章

WeiPHP5.0 SQL注入漏洞2

本文仅用于技术讨论与研究，文中的实现方法切勿应用在任何违法场景。如因涉嫌违法造成的一切不良影响，本文作者概不负责。漏洞描述WeiPHP5.0是在2019年停止更新的一个系统，漏洞挺多的，跟着复现分析一...

05月07日235 views评论

阅读全文

代码审计

【yso】- CC3反序列化分析

前言学习ysoserial中CommonsCollections3反序列化利用链。ysoserial 中的 CC3 payload构造先看下yso中cc3这条链的payload是怎么构造的，后续我们再...

05月05日103 views评论

阅读全文

代码审计

java安全 commons-beanutils构造链分析

java安全 commons-beanutils构造链分析public static byte[] bytes =Base64.getDecoder().decode("yv66vgAAADQAIQo...

05月05日24 views评论

阅读全文

代码审计

JDK反序列化Gadgets-7u21

No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必...

05月05日35 views评论

阅读全文

代码审计

反序列化学习 -- JavaScriptSerializer

JavaScriptSerializer是微软内部自带的api，可以在对象和json字符串之前来回转换。其命名空间位于System.Web.Script.Serialization，结构如下：demo...

05月05日29 views评论

阅读全文