反序列化 - 第 12 | CN-SEC 中文网

安全工具

【WebChains】Java 安全研究领域的瑞士军刀

工具介绍Web-Chains 项目，又名 Java-Chains 项目，我们站在巨人肩膀上，致力于打造最强的 Java 安全研究领域的瑞士军刀 Web 版 Java Payload 生成与利用工具，提...

01月22日73 views评论

阅读全文

安全百科

最近跟jdbc有关的新知识——ldap篇

1， trustSerialData=false在jdk11中，新增了com.sun.jndi.ldap.object.trustSerialData开关，但一直默认为true，一直到JDK20，才改...

01月22日20 views评论

阅读全文

安全文章

JBoss 4.x JBossMQ JMS反序列化

影响范围JBoss AS <=4.x漏洞概述在JBoss AS 4.x及之前版本的JbossMQ实现过程中，JMS over HTTP Invocation Layer的HTTPServerIL...

01月22日9 views评论

阅读全文

CTF专场

CTF:Phar反序列化漏洞学习笔记

使用phar://伪协议读取文件时，文件会被解析成phar对象，phar对象内的以反序列化形式存储的用户自定义元数据信息会被反序列化。影响函数phar结构phar由四部分组成，分别是1.stub是一个...

01月21日18 views评论

阅读全文

代码审计

PHP反序列化新手入门学习总结

最近写了点反序列化的题，才疏学浅，希望对CTF新手有所帮助，有啥错误还请大师傅们批评指正。php反序列化简单理解首先我们需要理解什么是序列化，什么是反序列化？PHP序列化：serialize()序列化...

01月20日14 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/1/18】

2025-01-18 微信公众号精选安全技术文章总览洞见网安 2025-01-18 0x1 通过“Typora + PicGo + 腾讯云” 组合方法解决发布图片显示失效的问题泷羽Sec-风 2025...

01月19日10 views评论

阅读全文

安全工具

Java反序列化绕WAF tricks及一个GUI工具

byname的博客-java反序列化绕waf-tricks及一个gui工具学过Java,php序列化知识的师傅们都知道，Java的序列化流格式相比于PHP序列化流格式要复杂许多，以至于...

01月17日11 views评论

阅读全文

代码审计

Java安全小记-Rome反序列化

前言之前没学习过rome反序列化这里学习一下因为能和二次反序列化结合介绍ROME 是一个可以兼容多种格式的 feeds 解析器，可以从一种格式转换成另一种格式，也可返回指定格式或 Java 对象。RO...

01月16日16 views评论

阅读全文

安全文章

ThinkPHP6.0.12反序列化RCE挖掘

前言前人种树，后人乘凉根据@Morouu师傅的eval反序列化利用链继续挖掘测试版本:Thinkphp6.0.120x01环境配置(tp6只支持用composer安装)composer create-...

01月13日14 views评论

阅读全文

安全文章

SecMap - 反序列化（PyYAML）

🍊 SecMap - 反序列化（PyYAML）这是橘子杀手的第 49 篇文章题图摄于：绍兴 · 东湖YAML 相信橘友们都接触过。YAML 最常见的用途之一是创建配置文件。相比 JSON，因为 YAM...

01月13日18 views评论

阅读全文

安全文章

高版本Fastjson在Java原生反序列化中的利用

目录• 前言• 绕过思路一：从已知gadget中寻找TemplatesImpl替代品• ReferenceSerialized• LdapAttribute• 绕过思路二：利用JDBC-Attack替...

01月12日36 views评论

阅读全文

GadgetInspector原理分析

点击蓝字 / 关注我们0x0 简介[GadgetInspector] https://github.com/JackOfMostTrades/gadgetinspector 是[JackOfMostT...

01月11日安全文章4 views评论

阅读全文

在线咨询

微信