反序列化 - 第 79 | CN-SEC 中文网

安全文章

盘一盘Fastjson漏洞getshell

迟来的log4j2漏洞getshell^^话不多说直接干1、漏洞描述Fastjson提供了autotype功能，允许用户在反序列化数据中通过“@type”指定反序列化的类型，其次，Fastjson自定...

04月04日681 views评论

阅读全文

安全开发

使用codeql自动挖掘Java反序列化gadget

0x00 背景前两天看到一篇老外写的用codeql挖掘Java反序列化gadget的文章 https://www.synacktiv.com/en/publications/finding-gadg...

04月03日129 views评论

阅读全文

安全文章

JNDI注入工具代码结构分析

THE SPRING EQUINOXJNDI注入工具代码结构分析该文章首发于Sec-IN,文章链接：https://www.sec-in.com/article/1632工具链接：https://gi...

04月01日34 views评论

阅读全文

安全文章

推一下四哥的java反序列化学习路径http://scz.617.cn:8/web/202005261453.txt

原文始发于微信公众号（）：推一下四哥的java反序列化学习路径http://scz.617.cn:8/web/202005261453.txt

04月01日101 views评论

阅读全文

代码审计

技术干货 | 一次代码审计到RCE的实战渗透案例

本公众号发布的文章均转载自互联网或经作者投稿授权的原创，文末已注明出处，其内容和图片版权归原网站或作者本人所有，并不代表安世加的观点，若有无意侵权或转载不当之处请联系我们处理，谢谢合作！欢迎各位添加微...

03月31日68 views评论

阅读全文

代码审计

原创 | java安全-java反序列化之URLDNS

点击蓝字关注我们前言Part 1java反序列化也算是个老生常谈的话题了，近年来就java反序列化问题出现过不少的漏洞，如shiro反序列化，fastjson反序列化等。说起java反序列化的漏洞利用...

03月31日38 views评论

阅读全文

代码审计

『代码审计』ysoserial CommonsCollections 5 反序列化分析(二)

“ 点击蓝字关注我们日期：2022-03-21作者：ICDAT介绍：这篇文章主要是对之前ysoserial CommonsCollections 5反序列化(一)...

03月23日84 views评论

阅读全文

安全文章

Phpwind GET型CSRF任意代码执行

0x01 后台反序列化位置首先纵览整个phpwindv9，反序列化的位置很多，但基本都是从数据库里取出的，很难完全控制序列化字符串。最后，找到三处：可恶的是，三处都在后台的Task模块下。Task模块...

03月17日125 views评论

阅读全文

安全文章

Java反序列化数据绕WAF之加大量脏数据

0x01 背景前几周有个同事发给我一个授权的站点,需要拿下webshell权限。发现存在Java反序列化漏洞，但是有WAF,ysoserial生成的序列化数据直接就被拦截了。绕W...

03月17日209 views评论

阅读全文

安全文章

有趣的php反序列化总结

from:https://forum.90sec.org/forum.php?mod=viewthread&tid=9356&extra=page%3D1前言很久以前写过一篇文章讲过p...

03月17日147 views评论

阅读全文

安全文章

java反序列化提取payload之Xray高级版的shiro回显poc的提取过程

本文中xray高级版shiro payload来源于雷石安全实验室公众号发布的shiroExploit.jar感谢雷石安全实验室，雷石安全实验室牛逼本文主要描述如何从shiro的payload中提取有...

03月17日152 views评论

阅读全文

安全文章

java反序列化-动态代理

前言在分析readObject 和writeObject中都会进去NonProxy方法中去分析，那么可以猜到，反序列化中，当满足一定的条件，会调用代理模式，这篇就来讲一下Java的动态代理机制。代理...

03月17日118 views评论

阅读全文

在线咨询

微信