反序列化 - 第 81 | CN-SEC 中文网

安全文章

渗透测试|常见危险端口服务及对应的漏洞

常见危险端口服务及对应的漏洞20：FTP服务的数据传输端口21：FTP服务的连接端口，可能存在弱口令暴力破解22：SSH服务端口，可能存在弱口令暴力破解23：Telnet端口，可能存在...

02月18日1,097 views评论

阅读全文

安全开发

XStream反序列化漏洞原理深度分析

一、XStream框架组成分析XStream是java实现对javaBean(实用类)简单快速进行序列化反序列化的框架。目前支持XML或JSON格式数据的序列化或反序列化过程。XStream总体主要由...

02月07日46 views评论

阅读全文

洞见简报【2022/2/3】

2022-02-03 微信公众号精选安全技术文章总览洞见网安 2022-02-03 0x1 记一次应急响应实战分析（附应急工具包！小白独立支撑应急响应！）Gaobai文库 2022-02-0...

02月05日安全新闻143 views评论

阅读全文

安全开发

SecMap - 反序列化（Python）

🍊 SecMap - 反序列化（Python）这是橘子杀手的第 44 篇文章题图摄于：杭州 · 西湖☁️ 介绍与 PHP 反序列化类似，Python 反序列化也是为了解决对象传输与持久化存储问题。🌧 ...

02月04日51 views评论

阅读全文

安全文章

SnakeYaml 之不出网利用

前言SnakeYaml现有的通用利用方式是ScriptEngineManager这条链。这条链会在反序列化ScriptEngineManager的时候，在构造函数触发的函数调用中，通过spi机制去加载...

01月24日196 views评论

阅读全文

安全漏洞

【安全情报系列】Oracle WebLogic T3反序列化漏洞

参考链接：https://www.oracle.com/middleware/technologies/weblogic-server-downloads.html长按-识别-关注Hacking黑白红...

01月20日98 views评论

阅读全文

终极Java反序列化Payload缩小技术

&n...

01月20日代码审计139 views评论

阅读全文

安全漏洞

【漏洞通告】Apache log4j反序列化与SQL注入漏洞

通告编号:NS-2022-00042022-01-19TAG：Log4j、CVE-2022-23302、CVE-2022-23305、CVE-2022-23307漏洞等级：攻击者利用漏洞，可实现远程代...

01月20日578 views评论

阅读全文

CTF专场

SCTF两道web题的writeup及出题感想

0x00 EZOSU unsafe session 本题利用了一个名为imi的框架。本题有且只有一个路由由php处理/config，其实现如下：这个路由的代码中最惹人注意的地方是，session的...

01月20日257 views评论

阅读全文

代码审计

ThinkPHP 6.x反序列化POP链（一）

环境准备安装ThinkPHP 6.0composer create-project topthink/think=6.0.x-dev v6.0修改application/index/controlle...

01月20日144 views评论

阅读全文

安全文章

记一次高版本下远程RMI反序列化利用分析

微信又改版了，为了我们能一直相见你的加星和在看对我们非常重要点击“长亭安全课堂”——主页右上角——设为星标🌟期待与你的每次见面～背景最近在一个项目的内网环境中遇到多个开着 RMI 端口的目标，按照之前...

01月19日420 views评论

阅读全文

安全漏洞

【CVE-2021-43297】Apache Dubbo Hessian2 异常处理时反序列化

作者：Longofo@知道创宇404实验室日期：2022年1月18日上周看到Apache官方又发布了一个Apache Dubbo Hessian2的漏洞（https://lists.apache.or...

01月19日307 views评论

阅读全文

在线咨询

微信