序列化 - 第 19 | CN-SEC 中文网

安全博客

Java代码审计-URLDNS链分析

0x00 前言本文所述的是URLDNS利用链分析，在此之前还要先介绍一下一个⾥程碑碑式的工具：ysoserial 引用官网的一句描述： ysoserial is a collection of ut...

12月14日17 views评论

阅读全文

安全博客

浅析PHP反序列化漏洞

0x01 前言很久没有些文章了，今天复习了反序列化漏洞的知识，顺便写了一篇文章。 0x02 PHP序列化和反序列化基础我们想要将数组值存储到数据库时，就可以对数组进行序列化操作，然后将序列化后的值...

12月14日20 views评论

阅读全文

安全开发

phar的利用

#############################免责声明：本文仅作收藏学习之用，亦希望大家以遵守《网络安全法》相关法律为前提学习，切勿用于非法犯罪活动，对于恶意使用造成的损失，和本人及作者无...

12月13日22 views评论

阅读全文

安全文章

从本地文件包含（LFI）到远程代码执行（RCE）

声明：所分享内容仅用于网安爱好者之间的技术讨论，禁止用于违法途径，所有渗透都需获取授权！否则需自行承担，作者不承担相应的后果.发现测试目标的cookie是如下形式：Cookie：PHPSESSID=P...

12月12日41 views评论

阅读全文

安全文章

EvilParcel漏洞分析

Q引言今年年初，国内独立研究机构DarkNavy发表文章，指出某知名购物APP中存在漏洞攻击行为。这引起了广泛的关注和讨论。值得注意的是，其中涉及到一个已被编号为CVE-2017-13315的Andr...

12月12日13 views评论

阅读全文

安全百科

【Web渗透】反序列化漏洞

一、什么是序列化和反序列化序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串转换为对象供程序使用。在PHP中序列化和反序列化对应的函数分别为seri...

12月08日22 views评论

阅读全文

代码审计

【实战攻略】如何利用Fastjson漏洞复现？一步步教你轻松操控代码执行！

Fastjson是一个阿里巴巴开源的Java库，它用于将Java对象转换为JSON表示。它还可以用于将JSON字符串转换为等效的Java对象。(项目地址为:https://github.com/ali...

12月04日33 views评论

阅读全文

代码审计

从漏洞挖掘的角度深入分析shiro反序列化漏洞

前言相信大家在找工作还是hvv面试的时候，shiro反序列化这种标志性的漏洞是最常问的，我们应该大都是通过背漏洞原理来蒙混过关，而且就在上个月也是通过shiro反序列化为入口，成功打穿一个医院的内网，...

12月04日29 views评论

阅读全文

安全新闻

gRPC API风险解读

xxhzz@PortalLab实验室gRPC协议介绍gRPC是Google发布的基于HTTP 2.0传输层协议承载的高性能开源软件框架，提供了支持多种编程语言的、对网络设备进行配置和纳管的方法。由于是...

11月20日69 views评论

阅读全文

安全漏洞

致远 M3 反序列化远程命令执行漏洞

0x01 漏洞概述致远OA M3 Server 存在反序列化漏洞，未经授权的攻击者构造恶意的序列化数据可造成远程代码执行，最终可以获取服务器权限。 0x02 影响范围致...

11月20日462 views评论

阅读全文

安全漏洞

金蝶云星空管理中心反序列化RCE漏洞

关注我们❤️，添加星标🌟，一起学安全！作者：huige@Timeline Sec 本文字数：1095 阅读时长：2～3min 声明：仅供学习参考使用，请勿用作违法用途，否则后果自负0x01 简介金蝶云...

10月30日117 views评论

阅读全文

代码审计

JAVA反序列化系列第一课：URLDNS链全解

哈喽小伙伴们，好长时间没有更新了，因为我们实验室的师傅们都比较忙，本人也刚转型去做数据安全方面，但是大家不用担心，建立实验室的初心我们会一直守护下去，那...

10月29日30 views评论

阅读全文