反序列化 - 第 30 | CN-SEC 中文网

安全漏洞

速报：Weblogic反序列化0day/1day漏洞的临时修补方案

Part1 前言大家好，我是ABC_123。一年一度的大考就要开始了，坊间传闻weblogic中间件爆出了0day或者1day漏洞，这里ABC_123给大家提供一个临时的漏洞修补方案。 Part2...

07月19日38 views评论

阅读全文

代码审计

Java安全-CC6反序列化

漏洞介绍使用了3.2.1版本的Commons Collections从mvnrepository上搜索发现该版本已被提示存在两个风险点进去看到关联到两个CVE（CVE-2015-7501、CVE-20...

07月15日18 views评论

阅读全文

代码审计

反序列化学习之路-Apache Commons Collections（CC1）补充-LazyMap路线

1.介绍Apache Commons工具包中有⼀个组件叫做 Apache Commons Collections ，其封装了Java 的 Collection(集合) 相关类对象，它提供了很多强有⼒的...

07月15日18 views评论

阅读全文

安全漏洞

CVE-2024-32030 Apache Kafka UI 远程代码执行漏洞分析

1前言CVE-2024-32030漏洞修复的文件变更中,将commons-collections从kafka-json-schema-serializer依赖中剔除,更改为 commons-colle...

07月14日322 views评论

阅读全文

安全漏洞

Showdoc反序列化

本文由掌控安全学院 - 知识土拨鼠投稿非常简单的一个靶场靶场地址：https://hack.zkaq.cn/ 打开靶场，弹出了这种登录框，这也成为了后面的一个坑点，记住这个登录框。 ...

07月14日45 views评论

阅读全文

最全详细的反序列化攻击知识梳理

声明：以下内容仅供学习参考，切勿进行非授权的网络攻击行为。本文图片从本地文件加载上，需要完整Web方向文档可在社区或公众号索取。 1. 理解序列化和反序列化要学习PHP反序列漏洞，先了解下PHP序列...

07月12日安全文章60 views评论

阅读全文

安全漏洞

红盟云发卡系统存在反序列化RCE漏洞

漏洞简介红盟云卡系统是一款基于ThinkPHP框架开发的高性能稳定虚拟商品在线售卖系统!系统支持多规格商品、微信订单推送、支持设置返佣和代理等级、支持分站等功能！资产详情 Fofa:"/asset...

07月10日416 views评论

阅读全文

安全漏洞

致远M3 RCE漏洞复现及内存马利用

漏洞原理和内存马利用其实早就有师傅分析过了，实际上是fastjson，想要进一步了解的话可以去原文章看看，我在这里引个路：https://xz.aliyun.com/t/13078 漏洞介绍致远m3...

07月10日256 views评论

阅读全文

安全工具

OA漏洞利用工具，集成348+漏洞，包括nday、1day（未公开poc）

OA漏洞是攻防中打点的常用的漏洞之一，分享一款OA漏洞综合利用工具，集成漏洞348+，包括nday、1day（未公开poc），工具作者：R4gd0ll。 1►工具介绍集成漏洞系统包括：用友、泛微、蓝...

07月08日62 views评论

阅读全文

安全漏洞

用友nc65 jiuqisingleservlet前台反序列化 POC+分析

PART.01免责声明道一安全（本公众号）的技术文章仅供参考 PART.02漏洞描述用友NC是一个全面的企业资源规划（ERP）软件，可以帮助中小型企业实现资源规划和管理。该软件综合了财务、销售、采购、...

07月08日206 views评论

阅读全文

安全新闻

从Scala Chain看新切入面

效果图可以通过该链调用java.lang.System#setProperty方法修改相关属性，例如复活Fastjson、绕过高版本CC链限制。原理分析SerializedLambdaLambda表达...

07月08日32 views评论

阅读全文

安全工具

Jenkins综合漏洞的利用工具

工具介绍 Jenkins的综合漏洞利用工具环境说明在windows或linux使用jdk8的哪一个版本应该都可以，在macOS里如果出现了找不到主类的错误，可能是因为当前java版本没有jfxrt...

07月04日71 views评论

阅读全文

在线咨询

微信