反序列化 - 第 24 | CN-SEC 中文网

代码审计

Java反序列化之 CC1 链从0到1

声明：本篇文章作者YDJA，本文属i春秋原创奖励计划，未经许可禁止转载。https://bbs.ichunqiu.com/thread-63612-1-1.html0x00 前言承接上文的 URLDN...

10月17日16 views评论

阅读全文

安全工具

Deswing：Java反序列化图形利用工具

工具简介这是一个Java反序列化工具，集成ysoserial，一键生成并导出反序列化利用连payload。推荐运行环境：Java1.8-Java11，经过测试不符合 Java17+ v0.0.2版...

10月17日40 views评论

阅读全文

代码审计

JAVA_Fastjson

0x00前言Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库，用于将数据在 JSON 和 Java Object 之间互相转换提供两个主要接口来分别实现序列化和反...

10月16日18 views评论

阅读全文

代码审计

PHP反序列化漏洞总结

漏洞成因开发者为了以某种存储形式使自定义对象持久化同时实现将对象从一个地方传递到另一个地方通常会在程序中引入序列化和反序列化两种操作。但是如果程序未对用户输入的序列化字符串进行检测，导致攻击者可以控制...

10月16日23 views评论

阅读全文

代码审计

jackson 反序列化全文解析

pom.xml： <dependency> <groupId>com.fasterxml.jackson.core</groupId&...

10月16日37 views评论

阅读全文

代码审计

2.BinaryFormatter反序列化点+几个链子

1.关于BinaryFormatter其实非要说的话，BinaryFormatter才是.NET里最经典的序列化与反序列化相关类，从名字就可以看出来，这玩意大概是用来把对象序列化成二进制数据或者把二进...

10月16日13 views评论

阅读全文

反序列化字节逃逸

反序列化字节逃逸 # 当 PHP 中序列化后的数据进行了长度替换之后，就可能存在这一漏洞，即通过修改输入数据从而控制整个序列化的内容。 [安洵杯 2019]easy_serialize_php 题目源...

10月15日安全博客11 views评论

阅读全文

安全博客

php-反序列化

PHP 反序列化 # 魔术函数： __construct() 当一个对象创建时被调用，反序列化不触发 __destruct() 当一个对象销毁时被调用 __toString() 当一个对象被当作一个字...

10月15日11 views评论

阅读全文

安全文章

Mysql jdbc反序列化分析

漏洞简介MYSQL JDBC的反序列化利用链，原理是在使用MYSQL JDBC连接数据库的时候，会执行几个内置的sql查询语句，其中SHOW SESSION STATUS和SHOW COLLATION...

10月15日20 views评论

阅读全文

代码审计

Java反序列化之URLDNS从0到1

声明：本篇文章作者YDJA，本文属i春秋原创奖励计划，未经许可禁止转载。https://bbs.ichunqiu.com/thread-63600-1-1.html前言之前对java反序列化漏洞一直都...

10月14日9 views评论

阅读全文

安全文章

Adobe ColdFusion 反序列化漏洞复现踩坑

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。Adobe ...

10月14日13 views评论

阅读全文

安全文章

Hibernate反序列化利用链分析(1)

分析了ysoserial一系列利用链后发现每一链都是由一些小的点串起来才构成了有每条完整的利用链的，此次分析的hibernate反序列化利用链也不例外，所以打算以每一个小点为中心写一下hibernat...

10月14日18 views评论

阅读全文

Java反序列化之 CC1 链从0到1

Deswing：Java反序列化图形利用工具

JAVA_Fastjson

PHP反序列化漏洞总结

jackson 反序列化全文解析

2.BinaryFormatter反序列化点+几个链子

反序列化字节逃逸

php-反序列化

Mysql jdbc反序列化分析

Java反序列化之URLDNS从0到1

Adobe ColdFusion 反序列化漏洞复现踩坑

Hibernate反序列化利用链分析(1)

在线咨询

微信