安全开发 - 第 55 | CN-SEC 中文网

代码审计

JAVA安全-手搓内存马系列-Listener

点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵...

11月12日17 views评论

阅读全文

代码审计

Java安全-利用链.URLDNS

URLDNSURLDNS链是用来检测目标是否存在反序列化漏洞的，他的优点就是不限java版本，因为实在HashMap中触发的很难去对他进行限制，但是仅限于使用他验证是否存在反序列化漏洞，无法进行其他操...

11月12日5 views评论

阅读全文

代码审计

Java反序列化-CommonsCollections1链分析

什么是CC? CC全称Commons Collections，主要封装了Java的集合相关类对象，它是Java中的一个组件利用链是什么? 你可以把他看做反序列化漏洞的EXP ，利用链首先要满足三...

11月12日6 views评论

阅读全文

代码审计

(0day)全新优客API接口管理系统代码审计

点击上方蓝字关注我们并设为星标0x00 前言全新2024优客API接口管理系统，内置30+API接口，支持服务器信息，网站ICP备案，抖音无水印，QQ在线状态QQ头像，获取历史上的今天，IP签名档，...

11月12日22 views评论

阅读全文

安全开发

【工具箱】优化对于大文件的支持 & v1.0.18+1更新

【工具箱】优化对于大文件的支持 & v1.0.18+1更新在我自己使用工具箱的时候呢，发现一个问题，对于flutter_rust_bridge这个库，如果说传输的内容过大的话，会触发一个pan...

11月12日9 views评论

阅读全文

安全开发

JNDI利用分析魔改

前言实战中遇到log4j2漏洞，并且不出网，在内网另一台获得权限的主机上上传JNDIBypassExploit注入工具进行利用，在注入内存马的时候感觉不太方便，于是对该工具的代码进行学...

11月12日11 views评论

阅读全文

代码审计

超详细 | Fastjson RCE漏洞

Fastjson1.2.24-RCE漏洞简介fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列...

11月11日87 views评论

阅读全文

代码审计

漏洞分析 | fastjson反序列化漏洞初探之parseObject

0x01 漏洞说明这里就主要分析一下fastjson 1.2.24版本通过parseObject来完成的反序列化漏洞，利用方法是通过JNDI注入的方式实现RCE，由于高版本的jdk对ldap和rmi有...

11月11日22 views评论

阅读全文

代码审计

学习yso之分析CC1链<=3.2.1(JAVA反序列化必学)

前言学习反序列化就肯定少不了学习CB，CC，CK等已有的链子来帮我我们理解各大反序列化漏洞的挖掘思路，漏洞利用，这里团队的XJiu师傅就带兄弟们先学习一下CC1这个经典链，它适用的依赖版本经常出现在框...

11月11日9 views评论

阅读全文

代码审计

学习yso之分析CC6链<=3.2.1(续)

概述jdk8u71之后，CC1链就不能⽤了，在ysoserial⾥，CC6链算是⽐较通⽤的利⽤链了，主要就是⾼版本兼容下面就简单的跟进一下CC6这条利用链，如有不对的地方，请指教。LazyMapcom...

11月11日5 views评论

阅读全文

Redis常用数据类型和它们的底层数据结构

Redis常用数据类型有8种：String、Hash、List、Set、Zset、HyperLogLog、Bitmap和Geospatial，其中前面5种是最常用的。1、String（字符串）Stri...

11月10日安全开发3 views评论

阅读全文

安全开发

开发基础 | Java 打包方式总结

Java 打包方式总结前言由于笔者之前也一直在使用 IDEA, Maven 等成熟工具|框架的打包方式, 也没有仔细研究过这个 JAR 包打包之中的细节, 网上公开的视频也没有找到, 但文章倒挺多的,...

11月10日11 views评论

阅读全文

JAVA安全-手搓内存马系列-Listener

Java安全-利用链.URLDNS

Java反序列化-CommonsCollections1链分析

(0day)全新优客API接口管理系统代码审计

【工具箱】优化对于大文件的支持 & v1.0.18+1更新

JNDI利用分析魔改

超详细 | Fastjson RCE漏洞

漏洞分析 | fastjson反序列化漏洞初探之parseObject

学习yso之分析CC1链<=3.2.1(JAVA反序列化必学)

学习yso之分析CC6链<=3.2.1(续)

Redis常用数据类型和它们的底层数据结构

开发基础 | Java 打包方式总结

在线咨询

微信