序列化 - 第 36 | CN-SEC 中文网

先知文章

Shiro反序列化与Tomcat内存马注入学习 - ccdr4gon

最近在入门JAVA安全,看的第一个洞是Shiro反序列化,已经是个2016年的老洞了这个漏洞第一似乎比较适合入门,而且实战确实还能遇到几个(犄角旮旯里的系统),另外现有的注入工具注入内存马的时候可能...

12月31日306 views评论

阅读全文

先知文章

.net反序列化之JavaScriptSerializer - Y4er

JavaScriptSerializer JavaScriptSerializer是微软内部自带的api，可以在对象和json字符串之前来回转换。其命名空间位于System.Web.Script.Se...

12月31日99 views评论

阅读全文

先知文章

.net反序列化之NetDataContractSerializer - Y4er

NetDataContractSerializer NetDataContractSerializer和DataContractSerializer同样用于序列化和反序列化 Windows Commu...

12月31日69 views评论

阅读全文

先知文章

.net反序列化之DataContractSerializer - Y4er

DataContractSerializer 使用提供的数据协定，将对象序列化和反序列化为 XML 流或文档，多用于序列化和反序列化 Windows Communication Foundation ...

12月31日39 views评论

阅读全文

先知文章

.net反序列化之ObjectStateFormatter - Y4er

ObjectStateFormatter ObjectStateFormatter同样用于序列化和反序列化表示对象状态的对象图。实现IFormatter、IStateFormatter。微软官方文档...

12月31日55 views评论

阅读全文

先知文章

.net反序列化之LosFormatter - Y4er

LosFormatter LosFormatter一般用于序列化存储视图流状态，多用于Web窗体，如ViewState。LosFormatter封装在System.Web.dll中，命名空间为Syst...

12月31日77 views评论

阅读全文

先知文章

.net反序列化之Nancy cookie反序列化及攻击链ToolboxItemContainer - Y4er

Nancy Nancy是一个轻量级web框架，其cookie中NCSRF字段使用binaryformatter进行序列化反序列化，造成rce。本文主要讲解其反序列化漏洞及ToolboxItemCont...

12月31日103 views评论

阅读全文

先知文章

XCTF2021-Final-Dubbo WriteUp: SSRF -> Dubbo Consumer RCE - LFYSec

前言之前dubbo爆过一些provider的rce洞，比如@Ruilin的CVE-2020-1948，还有一些其他写法导致的不同协议反序列化。分析这些漏洞我们可以看出，dubbo的consumer和...

12月31日66 views评论

阅读全文

先知文章

.net反序列化之BinaryFormatter - Y4er

BinaryFormatter BinaryFormatter将对象序列化为二进制流，命名空间位于System.Runtime.Serialization.Formatters.Binary。微软文档...

12月31日84 views评论

阅读全文

先知文章

dotnet serialize 101 - Y4er

dotnet-serialize-101 java太卷了，找点新的学习方向，从0到1学习dotnet的一些反序列化漏洞。简述dotnet序列化和反序列化同java类比，dotnet也需要对某个对象...

12月31日99 views评论

阅读全文

先知文章

JRE8u20 反序列化利用链及序列化流构造技术分析 - 只能修改一次所以我一定要慎重一点

近期出现了一些需要基于序列化数据进行修改加以利用的漏洞，例如Weblogic的CVE-2021-2211（基于JDK8u21）、OFBiz的CVE-2021-30128，在构造POC时都需要直接对序列...

12月31日67 views评论

阅读全文

先知文章

LightCMS 文件上传&&phar反序列化rce漏洞复现 - j1ang

LightCMS 文件上传&&phar反序列化rce漏洞复现写在前面在这次红帽中有一道这样的题，审的时候看到有文件上传，但是存在白名单限制，laravel6是有反序列化漏洞的，想到...

12月31日211 views评论

阅读全文

Shiro反序列化与Tomcat内存马注入学习 - ccdr4gon

.net反序列化之JavaScriptSerializer - Y4er

.net反序列化之NetDataContractSerializer - Y4er

.net反序列化之DataContractSerializer - Y4er

.net反序列化之ObjectStateFormatter - Y4er

.net反序列化之LosFormatter - Y4er

.net反序列化之Nancy cookie反序列化及攻击链ToolboxItemContainer - Y4er

XCTF2021-Final-Dubbo WriteUp: SSRF -> Dubbo Consumer RCE - LFYSec

.net反序列化之BinaryFormatter - Y4er

dotnet serialize 101 - Y4er

JRE8u20 反序列化利用链及序列化流构造技术分析 - 只能修改一次所以我一定要慎重一点

LightCMS 文件上传&&phar反序列化rce漏洞复现 - j1ang

在线咨询

微信