反序列化 - 第 14 | CN-SEC 中文网

安全漏洞

Apache MINA反序列化漏洞

0x00 漏洞编号CVE-2024-520460x01 危险等级高危0x02 漏洞概述Apache MINA是一个高性能的网络通信框架，旨在帮助开发人员快速构建和管理网络应用程序。0x03 漏洞详情C...

01月05日21 views评论

阅读全文

安全文章

记一个线下活动的反序列化

引言：这是2024补天白帽黑客年度庆典中的一个活动，其中有一道反序列化的题，但是因为忙着赶车，就截图了代码自己复现，这里面出现了7个魔术方法，相等于是常见的魔术方法都在这里了，下面就是复现环节。代码分...

01月03日14 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/1/1】

2025-01-01 微信公众号精选安全技术文章总览洞见网安 2025-01-010x1 X-Ways Forensics 功能介绍——事件列表功能金星路406取证人 2025-01-01 23:38...

01月03日9 views评论

阅读全文

安全文章

漏洞分析 | 利用 CodeQL 分析 fastjson 1.2.80 利用链

前言前阵子浅蓝师傅在Kcon2022上公开了fastjson 1.2.80漏洞的利用思路和Gadget，根据漏洞利用思路，本文分析下如何利用CodeQL去挖掘fastjson 1.2.80的这些利用链...

01月02日12 views评论

阅读全文

代码审计

Java安全小记-Commons-Collections1反序列化

TranformedMap复习一遍之前学过的，由于太过久远导致基本全部忘记了，还有就是当时的笔记记得太过于潦草导致根本没法复习。这次重新跟一遍cc1链。环境搭建具体搭建可以参考bilibili的白日梦...

01月02日5 views评论

阅读全文

安全工具

JAVA反序列化利用工具jmg网页版-MemShellParty

1►工具介绍一键生成常见中间件框架内存马，让内存马测试变得简单高效，打造内存马的全方位学习平台，在遍地是轮子的时代，是时候造车，带着大伙加速冲冲冲了。 2►主要特性自动化测试保障: 自带完备的 C...

01月02日20 views评论

阅读全文

安全文章

Fastjson 1.2.47 命令执行漏洞复现

漏洞介绍fastjson 是阿里巴巴的开源JSON解析库，它可以解析 JSON 格式的字符串，支持将 JavaBean 序列化为JSON 字符串，也可以从JSON 字符串反序列化到JavaBean。首...

01月02日8 views评论

阅读全文

代码审计

commons-collections反序列化利用链分析（1）

1. 序列化与反序列化定义：序列化指将对象/数据结构的状态信息转换为可以存储或传输的形式的过程，其反过程称为反序列化。作用：将对象持久化到存储介质以便再次使用使对象能在网络中传输如序列化格式...

01月02日4 views评论

阅读全文

未分类

【工具推荐】推荐两个java安全相关的项目

一、内存马项目https://github.com/ReaJason/MemShellParty类似JMG的内存马生成项目，目前作者仍在积极更新中。非常看好后续更新！！适配情况（期待后续更新） ...

01月02日15 views评论

阅读全文

代码审计

Java反序列化基础-fastjson反序列化漏洞原理分析fastjson利用条件分析

/ 零、写在前面 / 好久没更新了，后台好多私信最近都没看，有加群的和要源码的师傅的私信都没看到，以后尽力每周回复大家一次消息，入群的二维码放在了文章末尾，为了防止广告还是收费1元（只有二维码部分付费...

01月02日7 views评论

阅读全文

安全漏洞

CVE-2024-52046 Apache MINA反序列化漏洞

漏洞描述Apache MINA 中的 ObjectSerializationDecoder 使用 Java 的原生反序列化协议来处理传入的序列化数据，但缺乏必要的安全检查和防御。此漏洞允许攻击者通过发...

12月31日32 views评论

阅读全文

安全文章

浅析Dubbo Kryo/FST反序列化漏洞（CVE-2021-25641）

0x00 前言学习下最近爆出的Dubbo漏洞。0x01 漏洞原理Dubbo Provider即服务提供方默认使用dubbo协议来进行RPC通信，而dubbo协议默认是使用Hessian2序列化格式进行...

12月28日10 views评论

阅读全文

在线咨询

微信