反序列化 - 第 12 | CN-SEC 中文网

代码审计

JAVA 协议安全笔记-RMI篇

0x00 RMI介绍 RMI的全名为Remote Method Invocation即远程方法调用，他的出现是为了解决一个问题，如何在本地透明的调用远程服务器上的方法。废话不多说，我们直接从一个用例来...

02月25日40 views评论

阅读全文

安全文章

RealWorldCTF 史上最豪华的题目，疑似被 NSO 白捡了漏

今天 Google Project Zero 放出了 FORCEDENTRY “零点击”漏洞利用链的第二篇技术分析，介绍其如何在具有图灵完备的畸形 pdf 之后，进一步实现 PAC 绕过和逃逸 IMT...

02月24日19 views评论

阅读全文

安全文章

Java 反序列化回显链研究：漏洞检测工程化

回显方案选择实战中反序列化漏洞利用时，经常会遇到不出网的情况，命令执行成功，但拿不到执行结果，也不能回连这种情况可能是内网主机网络配置，禁用了tcp/dns/icmp等协议...

02月24日19 views评论

阅读全文

安全文章

Java反序列化注入冰蝎内存马相关踩坑笔记

0x00 前言朋友叫帮忙打一个内存马进去，用的是cb链，无cc依赖，我寻思这不是有手就行吗，谁知道接下来遇到了无数的坑。 0x01 改造cb链去除cc依赖这个是p牛讲过的了，不多说，直接贴代码 p...

02月24日30 views评论

阅读全文

安全文章

ByteCodeDL小试牛刀之CHA调用图分析

本文将分享如何用 ByteCodeDL 的 CHA 调用图分析功能，解决两个CTF题目。 0x00 buggyLoader 0ctf-2021-final 这是0ctf 2021 决赛的一道题目，Ne...

02月24日14 views评论

阅读全文

会Java代码审计不就把别人卷死了。。。

1. 请解释Java反序列化漏洞的根本原因，并说明为何攻击者可以通过反序列化执行任意代码？答案 Java反序列化的核心问题在于其默认机制允许通过ObjectInputStream的readObjec...

02月23日代码审计51 views评论

阅读全文

代码审计

java 静态方法 load+写文件组合拳利用

前言前几天看到 nacos 漏洞的时候发现本质是 hessian 反序列化，而 hessian 反序列化和其他反序列化个人认为最特殊的一点即是一个类根本不需要序列化接口，这样利用面大大增加，而其原生的...

02月22日18 views评论

阅读全文

安全新闻

Hitachi Vantara Pentaho未经信任的数据反序列化漏洞

漏洞描述:应用程序在没有充分验证结果数据是否有效的情况下反序列化不受信任的数据,Hitасhi Vаntаrа Pеntаhо Buѕinеѕѕ Anаlуtiсѕ Sеrvеr版本在10.2.0.0...

02月21日28 views评论

阅读全文

安全文章

皮蛋厂的学习日记 | 2022.4.10 JAVA反序列化之 7u21

皮蛋厂的学习日记系列为山东警察学院网安社成员日常学习分享，希望能与大家共同学习、共同进步~2020级 sp4c1ous | JAVA反序列化之 7u21前言前置分析动调分析分析 ysoserial 的...

02月20日12 views评论

阅读全文

安全文章

原创 Paper | 基于污点分析的 AI 自动化漏洞挖掘尝试

作者：longofo@知道创宇404实验室时间：2025年2月16日本文为知道创宇404实验室内部分享沙龙“404 Open Day”的议题内容，作为目前团队AI安全研究系列的一部分，分享出来与大家一...

02月20日155 views评论

阅读全文

安全百科

反序列化漏洞

01定义想象一下，你有一个复杂的玩具（对象），为了方便存放，你把它拆成零件（序列化）。当你需要玩的时候，再把零件拼回去（反序列化）。序列化：将对象（如Java对象、PHP数组）转换为字符串或二进制数据...

02月18日29 views评论

阅读全文

安全职场

原来想去网安大厂，反序列化是跑不了的，被技术面麻了

最近一个星球中的小伙伴想我诉苦，说他面试的时候面试官尽然一只在问他反序列化相关的问题，他尽然emo了，今天特意的整理了下网络安全中常见的反序列化相关的面试题，需要的抓紧收藏。网络安面试题库截止目前已...

02月18日66 views评论

阅读全文

JAVA 协议安全笔记-RMI篇

RealWorldCTF 史上最豪华的题目，疑似被 NSO 白捡了漏

Java 反序列化回显链研究：漏洞检测工程化

Java反序列化注入冰蝎内存马相关踩坑笔记

ByteCodeDL小试牛刀之CHA调用图分析

会Java代码审计不就把别人卷死了。。。

java 静态方法 load+写文件组合拳利用

Hitachi Vantara Pentaho未经信任的数据反序列化漏洞

皮蛋厂的学习日记 | 2022.4.10 JAVA反序列化之 7u21

原创 Paper | 基于污点分析的 AI 自动化漏洞挖掘尝试

反序列化漏洞

原来想去网安大厂，反序列化是跑不了的，被技术面麻了

在线咨询

微信