代码审计 - 第 32 | CN-SEC 中文网

代码审计

FastJson与原生反序列化-二

FastJson与原生反序列化(二)很早之前在发第一篇的时候@jsjcw师傅就曾提到1.2.49后也能利用引用绕过，后面由@1ue师傅在知识星球中利用这个思路成功绕过并分享了payload，至此fas...

10月29日13 views评论

阅读全文

安全博客

利用TemplatesImpl执行字节码在实战中的踩坑记录

利用TemplatesImpl执行字节码在实战中的踩坑记录在平时，无论是JNDI注入，还是反序列化，只要涉及到不出网的场景，TemplatesImpl的利用就很广泛，这里记录一个在实战中遇到的踩坑记录...

10月29日15 views评论

阅读全文

代码审计

FastJson与原生反序列化

FastJson与原生反序列化前言这其实是我很早前遇到的一个秋招面试题，问题大概是如果你遇到一个较高版本的FastJson有什么办法能绕过AutoType么？我一开始回答的是找黑名单外的类，后面面试官...

10月29日18 views评论

阅读全文

安全博客

浅析Apache-Commons-Jxpath命令执行分析-CVE-2022-41852

浅析Apache Commons Jxpath命令执行分析(CVE-2022-41852)本文首发于跳跳糖:https://tttang.com/archive/1771/影响版本commons-jx...

10月29日18 views评论

阅读全文

安全博客

Y4教你审计系列之RockOA

Y4教你审计系列之RockOA写在前面不知道是啥版本无语子，反正老师给的简单审一下，顺便吐槽一句老师连续两天只教用工具到处乱扫累放了个备份在https://github.com/Y4tacker/CT...

10月29日9 views评论

阅读全文

安全博客

熊海CMS代码审计

熊海CMS代码审计架构审计代码从架构开始，这个CMS架构比较简单，简单的MVC设计模式，根据参数r决定路由的分发，这个路由分发可能导致一个致命的缺陷导致最终实现RCE123456<?phperr...

10月29日15 views评论

阅读全文

安全博客

OpenRasp分析

OpenRasp分析[TOC]写在前面花了点时间学习了下openrasp的核心代码，这里做下简单的分析相关项目地址： https://github.com/baidu-security/op...

10月29日23 views评论

阅读全文

安全博客

浅谈Shiro550受Tomcat-Header长度限制影响突破

浅谈Shiro550受Tomcat Header长度限制影响突破0x00 写在前面写个shiro相关的东西，还是秉着写出来才能学的更多的理念，当然个人还是不太喜欢贴上整串代码，只是分享思路心得，在很早...

10月29日15 views评论

阅读全文

安全博客

Enjoy模板引擎分析

Enjoy模板引擎分析前置首先有关Enjoy模板引擎的一些描述可以看这里：https://jfinal.com/doc/6-1文档中值得关注的点属性访问触发get方法在官方文档里面我们可以看到很多有趣...

10月29日17 views评论

阅读全文

安全博客

浅谈Fastjson绕waf

浅谈Fastjson绕waf写在前面关键时期换个口味，虽然是炒陈饭，但个人认为有干货的慢慢看，从最简单到一些个人认为比较骚的，本人垃圾代码狗，没有实战经验，因而更多是从fastjson的词法解析部...

10月29日22 views评论

阅读全文

安全博客

Java文件上传大杀器-绕waf-针对commons-fileupload组件

Java文件上传大杀器-绕waf(针对commons-fileupload组件)PS：高版本才有1.3以上来个中二的标题，哈哈哈，灵感来源于昨晚赛博群有个师傅@我是killer发了篇新文章，在那篇文章...

10月29日8 views评论

阅读全文

安全博客

XStream反序列化

XStream反序列化XStream简介XStream是一个简单的基于Java库，Java对象序列化到XML，反之亦然(即：可以轻易的将Java对象和xml文档相互转换)。反序列化基本原理XStrea...

10月29日10 views评论

阅读全文

FastJson与原生反序列化-二

利用TemplatesImpl执行字节码在实战中的踩坑记录

FastJson与原生反序列化

浅析Apache-Commons-Jxpath命令执行分析-CVE-2022-41852

Y4教你审计系列之RockOA

熊海CMS代码审计

OpenRasp分析

浅谈Shiro550受Tomcat-Header长度限制影响突破

Enjoy模板引擎分析

浅谈Fastjson绕waf

Java文件上传大杀器-绕waf-针对commons-fileupload组件

XStream反序列化

在线咨询

微信