反序列化 - 第 34 | CN-SEC 中文网

安全文章

BC实战从注册到getshell

在我这最受欢迎的不是pony马，不是jack马，而是赛克马... 所有行为均为苯人梦到的，请勿模仿，请勿找我询问与此相关的任何问题... 最近会比较忙，不定时更新喔。 . . . * . * ☄️. ...

05月27日27 views评论

阅读全文

Java 反序列化技巧规避 EDR 和 WAF

在红队参与攻击期间，我们遇到了暴露在互联网上的 Java 应用程序，这些应用程序受到用户提供的数据的任意反序列化的影响。在快速识别出一个众所周知的小工具链后，我们注意到 WAF 通过检测...

05月25日代码审计9 views评论

阅读全文

Java反序列化之CC1链

Commons Collections简介Commons Collections是Apache软件基金会的一个开源项目，它提供了一组可复用的数据结构和算法的实现，旨在扩展和增强Java集合框架，以便...

05月22日12 views评论

阅读全文

安全闲碎

G.O.S.S.I.P 阅读推荐 2024-05-20 JDD

今天我们要为大家推荐一篇来自IEEE S&P 2024的研究论文Efficient Detection of Java Deserialization Gadget Chains via Bo...

05月21日37 views评论

阅读全文

安全工具

I-Wanna-Get-All: OA漏洞利用2开工具

工具介绍 I-Wanna-Get-All是@R4gd0ll师傅基于Apt-T00ls二次开发的一款安全工具，严禁一切未授权漏洞扫描攻击。使用工具前建议判断系统指纹框架，部分漏洞为接口探测存活判断是否成...

05月21日88 views评论

阅读全文

安全漏洞

[漏洞复现]-fastjson框架漏洞

简介：Fastjson是一个用Java语言编写的高性能功能完善的JSON库。 fastjson反序列化漏洞， Fastjson在处理JSON到Java对象的反序列化时没有对输入进行适当的验证和...

05月21日39 views评论

阅读全文

安全职场

网络安全面试分享：HVV行动题目及答案

这段时间有几个师傅来要面试题，就随手整理一下以前用到的面试题，想了想直接在公众号上分享出来给有需求的师傅们。hvv面试题owasp top 10问漏洞原理和修复方法略内网渗透拿到webshell，查...

05月20日66 views评论

阅读全文

安全文章

DSL-JSON参数走私浅析

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“亿人安全“设为星标”，否则可能就看不到了啦原文由作者授权，首发在奇安信攻防社区https://forum.butian.net/share/...

05月20日15 views评论

阅读全文

安全文章

Java Agent实现反序列化注入内存shell

简述内存shellJava内存shell有很多种，大致分为：动态注册servlet动态注册filter动态注册listener基于Java agent拦截修改关键类字节码实现内存shell ...

05月19日11 views评论

阅读全文

代码审计

关于LDAP反序列化的利用浅析

免费&进群0x00 前言由于想要JNDI注入使用RMI协议其实存在一定的限制条件比如高版本设置了trustURLCodebase，虽然可以通过BeanFactory来加载EL表达式的方式来RC...

05月19日18 views评论

阅读全文

安全漏洞

金蝶云ERP K3Cloud反序列化

影响范围金蝶云星空<6.2.1012.47.0.352.16 < 金蝶云星空 <7.7.0.2021118.0.0.202205 <金蝶云星空< 8.1.0.202211...

05月18日94 views评论

阅读全文

BC实战从注册到getshell

Java 反序列化技巧规避 EDR 和 WAF

最新！Java 反序列化饶过WAF的一些技巧(译)

Java反序列化之CC1链

G.O.S.S.I.P 阅读推荐 2024-05-20 JDD

I-Wanna-Get-All: OA漏洞利用2开工具

[漏洞复现]-fastjson框架漏洞

网络安全面试分享：HVV行动题目及答案

DSL-JSON参数走私浅析

Java Agent实现反序列化注入内存shell

关于LDAP反序列化的利用浅析

金蝶云ERP K3Cloud反序列化

在线咨询

微信