漏洞名称 : XStream多个安全漏洞通告组件名称 : XStream安全公告链接 : https://x-stream.github.io/changes.html ...
08月24日62 views评论xml
序列化
【安全公告】XStream多个安全漏洞通告
08月24日62 views评论xml
序列化
08月24日62 views评论xml
序列化
初探Java反序列化漏洞(二)
不能食言,再晚也要写✔ 0x01 Java反射反射之中包含了一个「反」字,有「反」就会有「正」,那么解释反射就必须先从「正」开始解释。一般情况下,当使用某个类时必定知道它是什么类(类名),是用来做什么...
08月16日89 views评论java
漏洞
痛心的CodeIgniter4.x反序列化POP链挖掘报告
0x00 前言CI框架作为PHP国外流行的框架,笔者有幸的挖掘到了它的反序列化POP链,其漏洞影响版本为4.*版本。文末有笔者与该厂商的一些“小故事”。0x01 POP链分析当然,反序列化漏洞需要反序...
08月14日83 views评论序列化
报告
【安全风险通告】Apache Dubbo反序列化漏洞安全风险通告
漏洞描述Apache Dubbo是一个分布式框架,致力于提供高性能透明化的RPC远程服务调用方案,以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。近日监测...
08月12日64 views评论apache
序列化
Resources反序列化相关问题
0x00 事因在研究CVE-2020-0932[1]过程中,Payload使用的是ysoserial.net[2]中的TypeConfuseDelegate gadget 然后编译成reso...
08月06日84 views评论序列化
问题
【第16周】Weblogic t3反序列化漏洞(CVE-2019-2890)分析
0x01 漏洞背景在WebLogic官方发布的10月份安全补丁中,包含了由Venustech ADLab提交的CVE-2019-2890的修复。该漏洞通过T3协议发送恶意的反序列化数据绕过了Weblo...
08月06日61 views评论cve
漏洞
记一次渗透测试之JMXInvokerServlet反序列化漏洞
0x00 前言 今天扫到了一个jboss的站十分奇怪,存在jmx-console和JMXInvokerServlet漏洞 但是通过war远程部署的方法访问jsp小马的时候页面报错5...
08月02日76 views评论序列化
漏洞
通过JSON序列化器绕过PHP中的disable_functions
译:您曾经是否使用过一些在线PHP沙箱或碰到了CTF,可以上传WebShell但不能使用比如system,passthru,shell_exec等功能,是的,在大多数情况下,将显示如下警告:这是由于使...
07月30日93 views评论php
序列化
Java XMLDecode反序列化
Java XMLDecode反序列化前言正常遇到的有关于xml攻击思路定格在dtd的利用上,有关语言类的xml攻击却很少见,本文探讨xml反序列化攻击在java上的应用。JAVA XML序列化举例ja...
07月29日202 views评论java
序列化
log4j<=1.2.17反序列化漏洞(CVE-2019-17571)分析
PS: 文章仅用于研究漏洞原理,促进更好的防御,禁止用于非法用途,否则后果自负!!!log4j是Apache开发的一个日志工具。可以将Web项目中的日志输出到控制台,文件,GUI组件,甚至是套接口服务...
07月29日2,681 views评论cve
漏洞
Fastjson 1.2.47 反序列化 复现
环境搭建:Fastjson靶机ip:192.168.21.10 (假设公网)Kali开启rmi服务并nc监听ip :192.168.10.12(假设公网)Win服务器开启http服务存放Exploit...
07月29日134 views评论fastjson
序列化
代码审计 | ThinkPHP v5.0.x 反序列化利用链挖掘
公众号:安全客资讯平台(ID:anquanbobao)作者:osword前言前几天审计某cms基于ThinkPHP5.0.24开发,反序列化没有可以较好的利用链,这里分享下挖掘ThinkPHP5.0....
07月27日171 views评论thinkphp
序列化
63