反序列化 - 第 10 | CN-SEC 中文网

代码审计

【yso】- CC6反序列化分析

前言继续学习ysoserial中的CommonsCollections6反序列化利用链。ysoserial中CC6 payload构造先看下yso中cc6这条链的payload是怎么构造的，后续我们再...

02月15日12 views评论

阅读全文

安全文章

（水）打穿博彩后偶遇高手运维，拼尽全力也无法战胜

目标网站：www.xxbet2024.com（记住首页这个着装酷似中国电信的女客服网图，后面要考）现在拿到的信息只有一个www门户的主站，这种就是平时各位看小电影的时候满屏幕飞的那种网址。前端基本上都...

02月15日13 views评论

阅读全文

程序逆向

2个躲过检测的恶意AI模型(附检测工具)

背景鉴于大型语言模型（LLM）和生成式AI能力的最近爆炸式增长，各个组织都在寻找将AI技术纳入其商业模式并利用其能力的方法。虽然大多数非技术人员提到AI时会想到OpenAI的ChatGPT或最新爆火...

02月13日32 views评论

阅读全文

安全文章

RASP | FastJson反序列化漏洞回顾

与原生的Java反序列化的区别在于，FastJson反序列化并未使用ObjectInputStream.readObject()方法，而是由FastJson自定一套反序列化的过程。通过在反序列...

02月13日17 views评论

阅读全文

安全漏洞

CVE-2022-25237 Bonitasoft Platform 从认证绕过到未公开反序列化漏洞发现之旅

漏洞信息Bonitasoft 从 Dockerhub 下载超过 500 万次，它是一个业务自动化平台，可以更轻松地在业务流程中构建、部署和管理自动化应用程序。CVE-2022-25237 Bonita...

02月13日11 views评论

阅读全文

安全文章

记一次攻防演练中的代码审计和0day漏洞挖掘

0x01 前言在某年某月的一次攻防演练中，比赛难度较大，所有队伍都绕开了正面突破开始钓鱼和社工，场面像极了电信诈骗的现场。作为一名有传统情怀的WEB狗，还是希望能通过WEB站点寻找突破口。在对目标进...

02月13日27 views评论

阅读全文

安全文章

【渗透知识】CC1利用链分析

免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不承担任何法律及连带责任。[ 简介 ]—— 其实...

02月13日6 views评论

阅读全文

CTF专场

从CTF中学习PHP反序列化的各种利用方式

文章来源｜MS08067 Web高级攻防第3期作业本文作者：绿冰壶（Web高级攻防3期学员）前言|序列化与反序列化为了方便数据存储,php通常会将数组等数据转换为序列化形式存储，那么什么是序列化...

02月12日11 views评论

阅读全文

安全文章

Fastjson1.2.25-1.2.41反序列化利用

书接上文我们继续分析fastjsonFastjson1.2.24反序列化利用自1.2.25起autotype默认为false。AutoType为false时只允许白名单的类，但白名单默认是空的，所以该...

02月12日11 views评论

阅读全文

安全文章

渗透实战 | JDBC反序列化利用思路

JDBC反序列化利用思路前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。需要加交流群在最下方，后台回复“抽奖”可参与限时活动还在...

02月12日34 views评论

阅读全文

安全工具

工具 | ysoSimple

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介ysoSimple是一款简易的Java漏洞利用工具。0x01 功能说...

02月11日12 views评论

阅读全文

代码审计

Java安全小记-Commons-Collections4反序列化

Fastjson回顾这里先来回顾一下fastjson怎么使用，其实研究具体的漏洞主要就是fastjson的序列化和反序列化先来创建一个类package com.ocean;publicclassUse...

02月11日11 views评论

阅读全文