反序列化 - 第 20 | CN-SEC 中文网

安全文章

一文读懂四种常见的php反序列化

0x01.前言花些时间把四种常见的php反序列化总结了一遍，各自都找了简单示例和ctf例题，参考了一些师傅的链接加上自己的理解，如果有什么错误，请师傅们多多指点，参考链接放在文末 0x02.反序列化...

11月07日13 views评论

阅读全文

安全文章

Java Payload生成与利用平台

亲爱的读者，我们诚挚地提醒您，黑熊安全公众号的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失，均由使用者自行承担责任。黑熊安全团队及作者对此概不负责。如有...

11月06日30 views评论

阅读全文

代码审计

干货 | 某CMS反序列化任意文件删除的审计过程

原文首发在：奇安信攻防社区https://forum.butian.net/share/3846一开始心血来潮想审计PHP系统，于是网上找了找一些开源比较知名的系统，于是找到了某CMS最新版，通过观察...

11月06日7 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/11/5】

2024-11-05 微信公众号精选安全技术文章总览洞见网安 2024-11-050x1 第十八课-系统学习代码审计：Java反序列化基础-原生方式的序列化和反序列化简单使用安全随心录 2024-11...

11月06日14 views评论

阅读全文

代码审计

第十八课-系统学习代码审计：Java反序列化基础-原生方式的序列化和反序列化简单使用

/ 写在前面 /好久没更新新了，后面还会持续更新，至少每周一篇🥰🥰需要进群的小伙伴私信就行了，可能回复不及时，看到会回复。视频教程：https://www.bilibili.com/video/BV1...

11月06日9 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/11/4】

2024-11-04 微信公众号精选安全技术文章总览洞见网安 2024-11-040x1 科罗拉多大学博尔德分校 | HTTPT：一种抵御主动探测攻击的代理方法安全学术圈 2024-11-04 23:...

11月06日36 views评论

阅读全文

安全工具

全网优秀免费开源攻防武器项目集合

All-Defense-Tool首先恭喜你发现了宝藏。本项目集成了全网优秀的开源攻防武器项目，包含信息收集工具（自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、...

11月06日54 views评论

阅读全文

代码审计

记一次某CMS反序列化任意文件删除的审计过程

11月05日11 views评论

阅读全文

代码审计

18.补充以前没学到的链子以及BinaryFormatter序列化数据特征

1.ClaimsPrincipal也即这条链子问题出在这个OnDeserializedMethod方法，有[OnDeserialized]特性，反序列化过程中会触发这里把m_serializedCla...

11月05日27 views评论

阅读全文

代码审计

15.Json.Net反序列化点（中篇）以及更多相关链

1.GetterSettingsPropertyValue链也是Json.Net很有牌面的专属链，而且看它也支持PropertyGrid、ComboBox、ListBox、CheckedListBox...

11月04日19 views评论

阅读全文

安全工具

Java Payload 生成框架

微信公众号：[小白安全工具] 分享安全工具与安全漏洞。问题或建议，请公众号留言。该开源工具是由作者按照开源许可证发布的，仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任。We...

11月04日24 views评论

阅读全文

代码审计

17.SerializationBinder安全问题与DataSetTypeSpoof链

1.SerializationBinder的安全问题前面一直都是纯分析反序列化链，还没学习过相关的防御机制，这不就来了吗。这里用Y4er师傅的demo学习一下：这里写了一个RCE类用于后续测试这里写了...

11月03日17 views评论

阅读全文

在线咨询

微信