反序列化 - 第 68 | CN-SEC 中文网

SecIN安全技术社区

phar反序列化学习

代码块中的 "\" 可以忽略初始phar 概念 phar是一种类似于jar的打包文件，但是实际上是一种压缩文件，php5.3版本或以上都默认开启，可以将多个文件压缩成一个phar文件，phar不需要...

10月17日102 views已关闭评论

阅读全文

安全文章

PHP反序列化漏洞入门

零基础黑客教程，黑客圈新闻，安全面试经验尽在 # 暗网黑客教程 #一序列化和反序列化的概念序列化就是将一个对象转换成字符串。字符串包括属性名属性值属性类型和该对象对应的类名。反序列化则相反将字符...

10月15日33 views评论

阅读全文

安全工具

第26篇：蓝队分析辅助工具箱V0.3发布，含shiro解密|cas解密|log4j2解密|冰蝎哥斯拉解密|端口连接分析等功能

Part1 前言最近几年各种攻防演习比赛越来越多，网络攻击事件越来越频繁，各种加密变形的漏洞利用payload的出现，让蓝队分析难度也越来越高。在最近几年参加的几次蓝队分析工作中，我陆续写了各种...

10月13日185 views评论

阅读全文

安全职场

HW蓝队初级面试总结

一、sql注入原理、分类、绕过原理：产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中，然后直接执行该sql语句，这样就会导致恶意用户传入一些精心构造的sql代码...

10月13日193 views评论

阅读全文

安全文章

Shiro高版本默认密钥的漏洞利用

在Shiro反序列化漏洞修复的过程中，如果仅进行Shiro的版本升级，而没有重新生成密钥，那么AES加密的默认密钥扔硬编码在代码里，仍然会存在反序列化风险。01、漏洞案例本案例引用的shiro版本已是...

10月10日143 views评论

阅读全文

安全文章

ThinkPHP6.0.13反序列化漏洞分析

1.前言最近有点闲下来了，不找点事干比较难受，打算找点漏洞分析一下，于是就打算看看TP的一些漏洞，ThinkPHP6.0.13是TP的最新版，八月份有师傅提交了一个issue指出TP存在反序列化问题，...

10月09日53 views评论

阅读全文

安全文章

DotNet安全-CVE-2021-42321漏洞复现

DotNet安全-CVE-2021-42321漏洞复现引言该漏洞主要是由于开发者使用SerializationBinder后的逻辑判断有问题，同时配合exchange不那么严格的反序列化黑名单，造成了...

10月09日487 views评论

阅读全文

安全文章

CVE-2022-41343 - 通过 Phar 反序列化的 RCE

Dompdf 是 PHP 中一个流行的库，用于从 HTML 呈现 PDF 文件。Tanto Security 在 Dompdf 中披露了一个影响 2.0.0 及以下版本的漏洞。该漏洞已在 Dompdf...

10月07日316 views评论

阅读全文

安全漏洞

Fastjson <=1.2.68全版本远程代码执行漏洞通告

漏洞详情Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean 。腾讯安全玄武...

10月05日70 views评论

阅读全文

安全职场

深圳深信服科技面试全过程#附面试题

高质量的安全文章，安全offer面试经验分享尽在 # 掌控安全EDU #今天小师妹给大家带来的是由微专业正式课urfyyyy同学在社区分享的面试经验~所面试的公司：深信服、安恒信息、安垚、端御所在城市...

10月05日107 views评论

阅读全文

代码审计

浅谈weblogic反序列化：XMLDecoder的绕过史

从CVE-2017-3506为起点至今，weblogic接二连三的吧爆出了大量的反序列化漏洞，而这些反序列化漏洞的很大一部分，都是围绕着XMLDecoder的补丁与补丁的绕过展开的，所以笔者以CVE-...

10月05日36 views评论

阅读全文

安全工具

【神兵利器】两款Shiro反序列化漏洞利用Tools（附下载）

shiro反序列化漏洞综合利用 v2.2下载地址https://github.com/j1anFen/shiro_attack填坑,修bug。基于javafx,利用shiro反序列化漏洞进行回显命令执...

10月05日108 views评论

阅读全文

phar反序列化学习

PHP反序列化漏洞入门

第26篇：蓝队分析辅助工具箱V0.3发布，含shiro解密|cas解密|log4j2解密|冰蝎哥斯拉解密|端口连接分析等功能

HW蓝队初级面试总结

Shiro高版本默认密钥的漏洞利用

ThinkPHP6.0.13反序列化漏洞分析

DotNet安全-CVE-2021-42321漏洞复现

CVE-2022-41343 - 通过 Phar 反序列化的 RCE

Fastjson <=1.2.68全版本远程代码执行漏洞通告

深圳深信服科技面试全过程#附面试题

浅谈weblogic反序列化：XMLDecoder的绕过史

【神兵利器】两款Shiro反序列化漏洞利用Tools（附下载）

在线咨询

微信