反序列化 - 第 74 | CN-SEC 中文网

CTF专场

HFCTF-2021-Final-easyflask-解题步骤详解

考点Python os.path.join trick、环境变量暴露敏感信息、pickle 反序列化 RCE、Flask Session 伪造思路进入题目，hint提示/file?file=index...

06月10日212 views评论

阅读全文

代码审计

以迷宫类比PHP反序列化链

一、本文核心如果以迷宫类比反序列化漏洞，__destruct()与__toString()就是入口；__call、同名类、call_user_func_array、call_user_func为路径...

06月07日45 views评论

阅读全文

代码审计

Java反序列化基础篇-类加载器

0x01 前言这篇文章/笔记的话，打算从类加载器，双亲委派到代码块的加载顺序这样来讲。最后才是加载字节码。0x02 类加载器及双亲委派说类加载器有些师傅可能没听过，但是说 Java ClassLoad...

06月07日63 views评论

阅读全文

安全文章

ysoserial-beanshell

No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必...

06月02日62 views评论

阅读全文

安全文章

原创｜PHP 序列化和反序列化

点击蓝字关注我们php->序列化&反序列化PHP序列化:PHP序列化是将变量或者对象转换成字符串的过程PHP反序列化:PHP反序列化将字符串转换成变量或者对象的过程序列化与json的区别...

06月01日25 views评论

阅读全文

安全文章

Shiro框架漏洞总结

Shiro框架漏洞shiro简介Apache Shiro是企业常见的JAVA安全框架，执行身份验证、授权、密码和会话管理。只要rememberMe的AES加密密钥泄露，无论shiro是什么版本都会导致...

06月01日413 views评论

阅读全文

安全文章

Web应用安全七大致命错误

阿卡迈(Akamai)最近的《互联网安全状况》报告中写道：“绝大部分Web应用攻击都是没有特定目标的大范围漏洞扫描，但少数攻击确实是为入侵特定目标而进行的针对性尝试。无论哪种情况，攻击都非常频繁而‘嘈...

05月29日33 views评论

阅读全文

代码审计

【yso】- CC7反序列化分析

前言学习CommonsCollections7反序列化链。ysoserial中CC7 payload构造CC7利用链中是使用Hashtable作为反序列化的入口点public Hashtable ge...

05月29日78 views评论

阅读全文

安全漏洞

【漏洞通告】Oracle Coherence反序列化远程代码执行漏洞（CVE-2020-2555）通告

通告编号:NS-2020-00142020-03-06TAG：Oracle Coherence、WebLogic、远程代码执行、CVE-2020-2555危害等级：高，攻击者利用此漏洞，可实现远程代码...

05月29日35 views评论

阅读全文

代码审计

基于框架漏洞的代码审计实战

0x00 前言由于普通的，基于某个功能点的漏洞，已经是非常常见了，在这里分享一些基于框架漏洞的代码审计，毕竟大家都学了这么多反序列化漏洞与一堆的框架，还是要用于实战当中。0x01 环境介绍某开源项目最...

05月27日54 views评论

阅读全文

安全漏洞

【漏洞通告】Fastjson反序列化漏洞

01漏洞概述Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于具有执...

05月26日112 views评论

阅读全文

Fastjson远程代码执行漏洞

01 漏洞描述在日志解析,前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析，其中json以跨语言，跨前后端的优点在开发中被频繁使用，基本上可以说是标准的...

05月24日安全漏洞11 views评论

阅读全文

HFCTF-2021-Final-easyflask-解题步骤详解

以迷宫类比PHP反序列化链

Java反序列化基础篇-类加载器

ysoserial-beanshell

原创｜PHP 序列化和反序列化

Web应用安全七大致命错误

【yso】- CC7反序列化分析

【漏洞通告】Oracle Coherence反序列化远程代码执行漏洞（CVE-2020-2555）通告

基于框架漏洞的代码审计实战

【漏洞通告】Fastjson反序列化漏洞

Fastjson远程代码执行漏洞

在线咨询

微信