反序列化 - 第 56 | CN-SEC 中文网

安全工具

用友NC反序列化漏洞利用工具

免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，小黑说安全及文章作者不为此承担任何责任。 0x01 ...

05月29日353 views评论

阅读全文

代码审计

Java反序列化漏洞基础知识 | 干货

基础知识 java序列化把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中，ObjectOutputStream类的 writeObject() 方法可以实现序列化。java反序列化...

05月27日41 views评论

阅读全文

安全职场

【转】一文读懂面试官都在问的shiro漏洞

点击蓝字关注我们微信搜一搜暗魂攻防实验室本文已获得作者授权，首发于暗魂攻防实验室，禁止任何人搬运！暗魂攻防实验室签约作者：YiKjiangShiro-550反序列化漏洞（CVE-2016-4437）漏...

05月25日43 views评论

阅读全文

代码审计

【java安全】从0到1--第4章

点击蓝字关注我们微信搜一搜暗魂攻防实验室知识点1、JavaEE-反序列化-解释&使用&安全2、JavaEE-安全-利用链&直接重写方法3、JavaEE-安全-利用链&外...

05月25日37 views评论

阅读全文

安全博客

Java RMI 攻击由浅入深

零、前言十一本来打算不卷了，好好放松放松，但是几个事情对我触动比较大，所以就又给自己设了个搞懂 RMI 反序列化相关攻击的学习目标。再加上一是为后续深入 IIOP/T3 打下基础，二是最近一位师傅...

05月25日29 views评论

阅读全文

安全文章

.NET ViewState反序列化 (15) xaml攻击链

星球优惠活动为了更好地应对基于.NET技术栈的风险识别和未知威胁，dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术，定位于高质量安全攻防星球社区，也得到了许多师傅们的支持和信任，...

05月25日36 views评论

阅读全文

安全职场

一文读懂面试官都在问的shiro漏洞

05月24日146 views评论

阅读全文

代码审计

Java反序列化回显学习之Tomcat通用回显

前言反序列化命令回显和内存马是反序列化漏洞的具体实现，在渗透过程中主要依靠这两种方式来获取目标权限。因此，这是在学习Java反序列化漏洞过程中绕不开的两个点。由于在实战中遇到的环境都是不可预测的，对于...

05月23日25 views评论

阅读全文

代码审计

反序列化学习-php-1

0x01反序列化学习第一章面向过程：（看过程）面向过程是一种以“整体事件”为中心的编程思想，编程的时候把解决问题的步骤分析出来，然后用函数把这些步骤实现，在一步一步的具体步骤...

05月23日28 views评论

阅读全文

代码审计

【基础漏洞】不安全的反序列化

什么是序列化和反序列化漏洞介绍复现过程pickle 模块介绍魔术方法 `__reduce__()`漏洞场景举例复现漏洞危害修复建议什么是序列化和反序列化序列化和反序列化是指用于将对象或数据结构转换...

05月23日37 views评论

阅读全文

代码审计

JDBC反序列化实战

前言：项目中遇到一个JDBC反序列化的点，和同学交流之后也是拿下了这个点，记录一下也是对这个加深一下印象。至于什么是JDBC反序列化可以自行去了解，该文章只是提供一下打的思路。特征点：获取一个弱口令进...

05月23日49 views评论

阅读全文

代码审计

原创 | java安全-java RMI

点击上方蓝字关注我吧前言RPC全称为远程过程调用，通俗点讲就是可以在不同的设备上互联调用其方法，比如client可以远程调用server上的方法。而RMI是jdk中RPC的一种实现方式，通过RMI可...

05月18日27 views评论

阅读全文

在线咨询

微信