反序列化 - 第 50 | CN-SEC 中文网

安全文章

【Tips+1】从JBoss反序列化到GetShell

Tips +1 通过信息收集发现存在Jboss，访问http://xxxx/invoker/readonly若显示状态码为500的报错界⾯，则证明漏洞是存在的使用工具利用漏洞：:http://sca...

11月03日60 views评论

阅读全文

安全新闻

在SOLARWINDS平台中查找反序列化错误

我们会在本文中详细介绍四个在去年被修复的旧漏洞： CVE-2022-38108； CVE-2022-36957； CVE-2022-36958； CVE-2022-36964； CVE-2022-38...

10月31日134 views评论

阅读全文

代码审计

SolarWinds BytetoMessage 反序列化 RCE 分析

环境搭建和介绍这系列漏洞都是基于Json.net的反序列化：三方组件自定义不安全的反序列化RCE（CVE-2022-38108）JsonConverter自定义不安全反序列化RCE（CVE-2022-...

10月31日37 views评论

阅读全文

代码审计

PHP应用程序Symfony的POP链利用过程

本文介绍了使用简单的命令工具配合强大的逻辑寻找php依赖包中的POP反序列化链的过程，涉及的主要技术有：反序列化的概念任意文件写入任意文件包含PHP特性分析PHP弱类型安全翻译来源：https://w...

10月31日84 views评论

阅读全文

安全漏洞

金蝶云星空管理中心反序列化RCE漏洞

关注我们❤️，添加星标🌟，一起学安全！作者：huige@Timeline Sec 本文字数：1095 阅读时长：2～3min 声明：仅供学习参考使用，请勿用作违法用途，否则后果自负0x01 简介金蝶云...

10月30日117 views评论

阅读全文

安全文章

WebLogic 远程代码执行漏洞分析

VLab-实验室Weblogic最近的补丁日更新了多个远程代码执行漏洞，笔者对比最新的补丁发现黑名单列表中新增了“com.fasterxml.jackson.databind.node”。前段时间有c...

10月30日25 views评论

阅读全文

代码审计

JAVA反序列化系列第一课：URLDNS链全解

哈喽小伙伴们，好长时间没有更新了，因为我们实验室的师傅们都比较忙，本人也刚转型去做数据安全方面，但是大家不用担心，建立实验室的初心我们会一直守护下去，那...

10月29日30 views评论

阅读全文

安全文章

Mysql JDBC反序列化

明天要面试，不想复习啊。之前不怎么学习这个漏洞。但是最近被问了两次，而且后来我发现不同类型数据库的反序列化漏洞还挺多的。看了看资料略写写还算简单。主要是分析反序列化部分，CC链部分不管，mysql协议...

10月26日21 views评论

阅读全文

安全新闻

Java 反序列化漏洞仍然存在

几个月前，Contrast 安全团队向 VMWare 安全团队报告了有关 Spring Kafka 的 Java 反序列化漏洞。它立即引起了我的注意，我开始分析这个错误。如果您有兴趣，可以查看我之前的...

10月26日25 views评论

阅读全文

安全漏洞

漏洞预警 | XXL-RPC反序列化漏洞

0x00 漏洞编号CVE-2023-451460x01 危险等级高危0x02 漏洞概述XXL-RPC 是一个分布式服务框架，提供稳定高性能的RPC远程服务调用功能。拥有"高性能、分布式、注册中心、负载...

10月26日96 views评论

阅读全文

代码审计

Shiro 550反序列化漏洞分析

Shiro 550反序列化漏洞分析因为现阶段工作涉及到了审计的相关内容，接下来会多看审计的东西。由此记录以下。不过还是以dotnet为主。私以为，程序上的问题大差不差，触类旁通吧。多看看没坏处。参考直...

10月26日49 views评论

阅读全文

安全文章

漏洞复现致远M1 usertokenservice 反序列化RCE漏洞

0x01 阅读须知融云安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统...

10月26日149 views评论

阅读全文

【Tips+1】从JBoss反序列化到GetShell

在SOLARWINDS平台中查找反序列化错误

SolarWinds BytetoMessage 反序列化 RCE 分析

PHP应用程序Symfony的POP链利用过程

金蝶云星空管理中心反序列化RCE漏洞

WebLogic 远程代码执行漏洞分析

JAVA反序列化系列第一课：URLDNS链全解

Mysql JDBC反序列化

Java 反序列化漏洞仍然存在

漏洞预警 | XXL-RPC反序列化漏洞

Shiro 550反序列化漏洞分析

漏洞复现致远M1 usertokenservice 反序列化RCE漏洞

在线咨询

微信