反序列化 - 第 63 | CN-SEC 中文网

安全文章

实战 | JSON反序列化到RCE

介绍序列化是将某些对象转换为可以恢复的数据格式的过程。反序列化是从某种格式获取结构化数据，并将其重建为对象。如今用于序列化数据的最流行的数据格式是 JSON。反序列化漏洞是一种在反序列化您发送的数据的...

02月06日70 views评论

阅读全文

安全文章

原创 | phar反序列化学习

点击蓝字关注我们代码块中的 "" 可以忽略初始phar概念phar是一种类似于jar的打包文件，但是实际上是一种压缩文件，php5.3版本或以上都默认开启，可以将多个文件压缩成一个phar文件，pha...

02月03日23 views评论

阅读全文

安全工具

MYSQL JDBC反序列化解析

一、JDBC简介 JDBC（Java DataBase Connectivity）是一种用于执行Sql语句的Java Api，即Java数据库连接，是Java语言中用来规范客户端程序如何来访问数据库的...

02月03日104 views评论

阅读全文

安全工具

一款比ysoserial更高更快更强的反序列化工具

一、前言某知名安全专家：java反序列化养活了半个安全圈。一提到java反序列化，第一个想到的工具肯定是ysoserial，其中包含了很多Gadget利用链，在复现&实战中用到的频率极高。本文...

02月02日48 views评论

阅读全文

安全文章

用友NC6.5反序列化文件上传漏洞

文章声明安全文章技术仅供参考，此文所提供的信息为漏洞靶场进行渗透，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学...

02月02日1,256 views评论

阅读全文

代码审计

JAVA安全|Gadget篇：CC3链及其通杀改造

0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识，构建自己的java知识体系，并实际地将java用起来，达到熟练掌握ja...

02月01日50 views评论

阅读全文

安全新闻

CVE-2023-23924：在流行的 Dompdf 库中发现严重的严重 RCE 缺陷

前言开源 Dompdf PHP 库中披露了一个严重的安全漏洞，如果成功利用该漏洞，可能会导致在目标服务器...

02月01日165 views评论

阅读全文

安全工具

蓝队分析辅助工具箱V0.3发布，含shiro解密|cas解密|log4j2解密|冰蝎哥斯拉解密|端口连接分析等功能

Part1 前言最近几年各种攻防演习比赛越来越多，网络攻击事件越来越频繁，各种加密变形的漏洞利用payload的出现，让蓝队分析难度也越来越高。在最近几年参加的几次蓝队分析工作中，我陆续写了各种...

01月31日116 views评论

阅读全文

安全文章

【漏洞】- 攻击Java RMI的方式

前言通过学习RMI（Remote Method Invocation）远程方法调用的基本知识了解到，参与一次 RMI 调用的有三个角色，分别是 Server 端，Registry 端和 Client...

01月30日47 views评论

阅读全文

安全文章

GW某系统的shiro反序列化利用到内网渗透

名称：记一次shiro反序列化的利用出处：巡安似海钩子：java反序列化&内网渗透shiro框架介绍Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会...

01月30日40 views评论

阅读全文

安全文章

常见的Web漏洞——反序列化漏洞

漏洞简介序列化：把对象转换为字节序列的过程，即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二进制数据流或文件，在网络传输过程中，可以是字节或是XML等格式。反序列化：把字节序列恢复...

01月30日38 views评论

阅读全文

安全工具

第29篇：蓝队分析辅助工具箱V0.36发布，新增Java字节码反编译功能

Part1 前言前一阵子写了这么一款蓝队分析辅助工具箱，没想到下载量还挺大。于是就抽出时间修复了一些bug，还新增了很多功能。“蓝队分析辅助工具箱”就是把我平时写的蓝队小工具集...

01月23日44 views评论

阅读全文

实战 | JSON反序列化到RCE

原创 | phar反序列化学习

MYSQL JDBC反序列化解析

一款比ysoserial更高更快更强的反序列化工具

用友NC6.5反序列化文件上传漏洞

JAVA安全|Gadget篇：CC3链及其通杀改造

CVE-2023-23924：在流行的 Dompdf 库中发现严重的严重 RCE 缺陷

蓝队分析辅助工具箱V0.3发布，含shiro解密|cas解密|log4j2解密|冰蝎哥斯拉解密|端口连接分析等功能

【漏洞】- 攻击Java RMI的方式

常见的Web漏洞——反序列化漏洞

第29篇：蓝队分析辅助工具箱V0.36发布，新增Java字节码反编译功能

在线咨询

微信