这是 酒仙桥六号部队 的第 9 篇文章。全文共计2423个字,预计阅读时长8分钟。前言本文内容是笔者一次从0到1的实战记录,通过一次完整的外网到内网到拿下域控的过程,来为...
11月23日111 views评论序列化
渗透
一次Shiro反序列化引起的域控沦陷
11月23日111 views评论序列化
渗透
11月23日111 views评论序列化
渗透
PHP反序列化字符逃逸详解
原创稿件征集邮箱:[email protected]:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬PHP反...
11月22日73 views评论php
序列化
CWE-594 J2EE框架:将不可序列化的对象存储到磁盘上
CWE-594 J2EE框架:将不可序列化的对象存储到磁盘上 J2EE Framework: Saving Unserializable Objects to Disk 结构: Simple Abst...
11月21日CWE(弱点枚举)128 views评论cwe
序列化
java安全-java反射
前言 如果要想深入学习java安全,除了java必备的基础知识外,还有一些java高阶的知识需要了解,例如反射,类加载,RPC,动态代理等。这些概念是java漏洞利用的基础,例如shiro反序列化,f...
11月17日63 viewsjava安全-java反射已关闭评论java
序列化
Category-1148: SEI CERT Oracle Java安全编码标准-准则14.序列化(SER)
Category-1148: SEI CERT Oracle Java安全编码标准-准则14.序列化(SER) ID: 1148 Status: Stable Summary Weaknesses i...
11月11日CWE(弱点枚举)94 views评论category
序列化
CWE-579 J2EE不安全实践:将不可序列化的对象存储在会话中
CWE-579 J2EE不安全实践:将不可序列化的对象存储在会话中 J2EE Bad Practices: Non-serializable Object Stored in Session 结构: ...
11月04日CWE(弱点枚举)190 views评论cwe
序列化
4h入门PHP代码审计之反序列化
代码审计顾名思义就是对源代码进行检查,寻找代码中的bug和安全缺陷,检查PHP源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞。 序列化就是把实体对象状态按照一定的格式...
10月30日120 views评论php
序列化
Apache Shiro反序列化漏洞-Shiro-550复现总结
最近一直在整理笔记,恰好碰到实习时遇到的Shiro反序列化漏洞,本着温故而知新的思想,就照着前辈们的文章好好研究了下,整理整理笔记并发个文章。新人初次投稿,文章有啥问题的话,还望各位大佬多多包含。1、...
10月11日146 views评论apache
序列化
JAVA序列化与反序列化
扫一扫关注公众号,长期致力于安全研究前言:本文主要讲解JAVA序列化与反序列化0x01 简述Java 序列化是指把 Java 对象转换为字节序列的过程; ...
10月08日100 views评论java
序列化
dotnet serialize 101
更多全球网络安全资讯尽在邑安全java太卷了,找点新的学习方向,从0到1学习dotnet的一些反序列化漏洞。简述dotnet序列化和反序列化同java类比,dotnet也需要对某个对象进行持久化处理,...
10月03日69 views评论java
序列化
XStream远程代码执行(CVE-2021-29505 )
XStream远程代码执行(CVE-2021-29505 )一、简介描述XStream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将javaBean序列化,或将XML文...
10月03日115 views评论cve
序列化
xStream 远程代码执行高危漏洞复现(CVE-2021-29505)
0x01 漏洞介绍xStream是一个Java对象和XML相互转换的工具,很好很强大。提供了所有的基础类型、数组、集合等类型直接转换的支持。因此XML常用于数据交换、对象序列化(这种序列化...
10月01日622 views评论序列化
漏洞
63