0x0、基本概念1、什么是序列化和反序列化 Serialization(序列化)是指把Java对象保存为二进制字节码的过程;反序列化deserialization是把二进制码重新转换成Java对象的过...
PHP反序列化学习与实践
概念 反序列化:PHP程序为了保存和转储对象,提供了序列化的方法,PHP序列化是为了在程序运行的过程中对对象进行转储而产生的。序列化可以将对象转换成字符串,但仅保留对象里的成员变量,不保留函数方法。 ...
如何利用 DCOM 进行内网横向渗透 - WHOAMIBunny
[toc] COM COM即组件对象模型(Component Object Model,COM) ,是基于 Windows 平台的一套组件对象接口标准,由一组构造规范和组件对象库组成。COM是许多微软...
Java内存马:一种Tomcat全版本获取StandardContext的新方法 - bitterz
0 前言 目前Java内存马的全流程已经有完善的解决方案了: 第一步,获取当前请求的HttpRequest对象或tomcat的StandardContext对象(Weblogic下是Servlet...
Javascript原型链攻击与防御
“ NaN!=NaN”在讲这个漏洞之前我们来理解一下Javascript。与其他的语言不同的是,Js在Es6之前是没有class的,他更多的是一个原型语言,在Js里有一句话很有名——"一切皆对象"01...
java安全-java 动态代理
前言 代理模式是一种设计模式,提供了对目标对象额外的访问方式,即通过代理对象访问目标对象,这样可以在不修改原目标对象的前提下,提供额外的功能操作,扩展目标对象的功能。我理解的代理就是一个中间人,这个中...
【技术分享】前尘——与君再忆CC链
前言每次提到Java反序列化,我始终都能在脑海中浮现commons-collections,这一个能助开发从业者轻松开发的依赖,使人爱也萧何恨也萧何。今日与君再忆,望与君温故而知新。&nb...
第一届长城杯|web · misc · reverse部分wp合集
web部分1. ezjava分析附件可知attack路由会进行反序列化。顺序是base64解码->AES解密->readObject 反序列化之后会转换成hashmap,然后获取...
Web安全 | PHP反序列化入门这一篇就够了
序列化搞懂反序列化漏洞的前提,先搞懂什么是序列化:序列化说通俗点就是把一个对象变成可以传输的字符串。 序列化实际是为了传输的方便,以整个对象为单位进行传输, 而序列化一个对象将会保存对象的所...
等保2.0你了解吗?
文章来源:智慧国家能源第一期我们进行了等保2.0基础概念的介绍,从本期开始,我们将对于等保2.0内容进行详细讲解。等级保护规定动作目录:*等级保护对象及其特征*安全保护等级*定级方法*定级流程01等级...
Spring 自动绑定漏洞
Spring 自动绑定漏洞 0x01:自动绑定 自动绑定功能在很多框架中都有实现,主要功能是允许软件框架自动将HTTP请求中的参数绑定到程序变量或对象中以便于开发者访问。 而自动绑定漏洞的漏洞点在于,...
javascript原型链污染详解(后有彩蛋)
0x01 先上一张图,如果这张图你都能看懂的话,我觉得就没必要再往下看了 由图可得: 1、所有的对象都有__proto__属性,该属性对应该对象的原型. 2、所有的函数(也只有函数才有)对象都有pro...
18