反序列化 - 第 18 | CN-SEC 中文网

代码审计

Java安全-深度剖析CC链反序列化

作者：yueji0j1anke首发于公号：剑客古月的安全屋字数：3813阅读时间: 15min声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的...

11月21日5 views评论

阅读全文

安全工具

集成高危漏洞exp的实用性渗透工具

01 工具介绍该工具使用了ExpDemo-JavaFX项目，保留了核心的数据包请求接口，使用jdk1.8环境开发。目前编写了oa、设备、框架、产品等多个系列，对相关漏洞进行复现和分析，极力避免exp...

11月18日27 views评论

阅读全文

安全文章

jar包环境下注入内存马

免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢...

11月17日23 views评论

阅读全文

安全文章

某系统因属性污染导致的RCE漏洞分析

前几天在逛huntr的时候，发现一个很有意思的漏洞，他是通过反序列化从而去污染类和属性导致的rce，在作者的描述中大致说明的漏洞的原理，该漏洞是通过绕过`Deepdiff `的反序列化限制，包括绕过魔...

11月17日10 views评论

阅读全文

代码审计

fastjson1.2.24版本反序列化导致RCE

一. 漏洞介绍 fastjson是一个java编写的高性能功能非常完善的JSON库，应用范围非常广，在github上star数都超过8k，在2017年3月15日，fastjson...

11月14日11 views评论

阅读全文

代码审计

『代码审计』从零开始的 Yii2 框架学习之旅（3）

点击蓝字，关注我们日期：2023-03-30作者：Obsidian介绍：Yii2框架相关漏洞的新手学习记录。0x01 前言书接上回。在 yii2 version < =2.0.42 时，反序列化...

11月14日11 views评论

阅读全文

安全漏洞

用友反序列化漏洞 NC-Cloud blobRefClassSearch 反序列化用友RCE

漏洞复现‍‍‍‍‍fofa查询语句： app="用友-NC-Cloud" 利用脚本进行检测：‍‍‍‍‍ ‍ 手工复现： ‍ POC POST /ncchr/pm/ref/indiIss...

11月14日24 views评论

阅读全文

安全工具

用友漏洞一键探测利用

项目地址；https://github.com/Chave0v0/YONYOU-TOOL 有release 开源支持漏洞 ActionHandlerServlet 反序列化 Lfw_Core_Rpc...

11月14日63 views评论

阅读全文

安全文章

关于MFC的序列化与反序列化机制

概述序列化操作：将类对象的数据部分按照一定的规则进行二进制摆放，便于传输和存储等操作。反序列化：将二进制数据按照一定的规则填充到指定的类对象的数据区中，完成对象的数据填充操作。MFC的序列化对象的构建...

11月13日7 views评论

阅读全文

代码审计

Java反序列化-CommonsCollections1链分析

什么是CC? CC全称Commons Collections，主要封装了Java的集合相关类对象，它是Java中的一个组件利用链是什么? 你可以把他看做反序列化漏洞的EXP ，利用链首先要满足三...

11月12日6 views评论

阅读全文

安全工具

web-chians:一款全新的Java Payload生成框架

简介web-chains 包含但不限于以下功能：Java 反序列化Payload生成支持的混淆：随机集合混淆、垃圾类插入、TC_RESET 填充、utf8 overlong encoding 混淆He...

11月12日95 views评论

阅读全文

安全文章

ObjRef链

1.什么是ObjRef我们先来个省流版分析。要研究这个链子，还是得先回到.NET Remoting。还记得我们前面演示的时候，用于传递的类需要实现一个MarshalByRefObject吗？Marsh...

11月12日4 views评论

阅读全文

Java安全-深度剖析CC链反序列化

集成高危漏洞exp的实用性渗透工具

jar包环境下注入内存马

某系统因属性污染导致的RCE漏洞分析

fastjson1.2.24版本反序列化导致RCE

『代码审计』从零开始的 Yii2 框架学习之旅（3）

用友反序列化漏洞 NC-Cloud blobRefClassSearch 反序列化用友RCE

用友漏洞一键探测利用

关于MFC的序列化与反序列化机制

Java反序列化-CommonsCollections1链分析

web-chians:一款全新的Java Payload生成框架

ObjRef链

在线咨询

微信