反序列化 - 第 55 | CN-SEC 中文网

HW&HVV

安全面试篇--（红队/HW）

0.前言这些问题是笔者从业安全这几年面试的问题（包含甲方和乙方），此次分享的面试内容是攻击方向，答案是笔者自己的总结，某些答案过于口水话，如果仔细推敲某些答案也是不对的，但是这样方便读者和笔者自己理...

06月22日7 views评论

阅读全文

安全文章

Nacos JRaft Hessian 反序列化 RCE 分析

参考链接http://www.bmth666.cn/bmth_blog/2023/06/14/Nacos-Jraft-Hessian%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%...

06月21日210 views评论

阅读全文

安全漏洞

漏洞预警 | Solon反序列化漏洞

0x00 漏洞编号CVE-2023-358390x01 危险等级高危0x02 漏洞概述Solon是一个轻量级的Java基础开发框架，它从零开始构建，有自己的标准规范与开放生态。Solon相较于Spri...

06月20日225 views评论

阅读全文

CTF专场

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

2023 Aliyun CTF ezbean 是一道 CTF java 反序列化题目。题目的目的是让选手通过一个 java 原生反序列化入口，最终达成 RCE。本文对题目的几种解法做了具体的分析，主要...

06月19日80 views评论

阅读全文

安全漏洞

漏洞风险提示｜金蝶云星空远程代码执行漏洞

金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。近期，长亭科技监测到微步在线发布一则漏洞通告，声明金蝶云星空发布补丁修复了一处反序列化导...

06月18日136 views评论

阅读全文

安全开发

利用Python反序列化运行加载器实现免杀

前言前几天在看Python的shellcode加载器，在网上找了一个，结果加载器自身就过不了火绒，测试发现是火绒对关键语句进行了识别。所以我们要想办法去掉加载器中明显的特征。原理及实现在绕过静态查杀方...

06月16日37 views评论

阅读全文

代码审计

Nacos JRaft Hessian 反序列化分析详情

声明：Poker安全公众号文中涉及到的技术和工具，仅供学习交流使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。0x00 前言5月25日 Nacos 发布一条安全公告，声...

06月16日144 views评论

阅读全文

代码审计

FastJson结合二次反序列化绕过黑名单

本文转自先知社区：https://xz.aliyun.com/t/12606作者：Squirt1e省流该利用链可以在fastjson多个版本实现RCE，并且借助SignedObject绕过第一层安全的...

06月15日59 views评论

阅读全文

代码审计

Fastjson反序列化漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）

漏洞原理1.啥是json?json全称是JavaScript object notation。即JavaScript对象标记法，使用键值对进行信息的存储。举个简单的例子如下：{ ...

06月11日135 views评论

阅读全文

安全漏洞

CVE-2023-20864 VMware Aria Operations for Logs 未授权反序列化漏洞分析

01漏洞背景2023-04-20 VMware 官方发布安全更新 VMSA-2023-0007，其中漏洞 CVE-2023-20864 评分9.8, 是一个未授权反序列化漏洞，影响...

06月07日182 views评论

阅读全文

安全文章

.NET ViewState反序列化 (14) ysoserial版本差异

星球优惠活动为了更好地应对基于.NET技术栈的风险识别和未知威胁，dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术，定位于高质量安全攻防星球社区，也得到了许多师傅们的支持和信任，...

06月05日60 views评论

阅读全文

代码审计

从Rome看二次反序列化

点击蓝字关注我们ROMEROME是一组Atom/RSS工具类，它用Java来操作大部份RSS。ROME可能是目前最完善的开源聚合工具，ROME支持绝大多数的RSS协议。依赖<dependency...

05月31日36 views评论

阅读全文

安全面试篇--（红队/HW）

Nacos JRaft Hessian 反序列化 RCE 分析

漏洞预警 | Solon反序列化漏洞

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

漏洞风险提示｜金蝶云星空远程代码执行漏洞

利用Python反序列化运行加载器实现免杀

Nacos JRaft Hessian 反序列化分析详情

FastJson结合二次反序列化绕过黑名单

Fastjson反序列化漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）

CVE-2023-20864 VMware Aria Operations for Logs 未授权反序列化漏洞分析

.NET ViewState反序列化 (14) ysoserial版本差异

从Rome看二次反序列化

在线咨询

微信