不废话,直接进入正题。顺手输几个字符串使其报错。thinkphp5.0.5二次开发。无RCE,应该存在反序列化链,但要自己去审POP链出来,等找到反序列化入口再说。注册一个账户登录,web页面为手机页...
05月24日138 views评论序列化
文件
渗透某针对女性的杀猪盘
05月24日138 views评论序列化
文件
05月24日138 views评论序列化
文件
Java反序列化漏洞分析(一)-Shiro550
本菜鸡算是第一次正式分析这种玩意,很烂,都是跟着网上的分析教程走一遍,算是打响java反序列化漏洞的第一枪。我还欠了两篇文章,记着呢。0x01 前言 Apache Shiro是一个开源安全框...
05月21日58 views评论序列化
身份验证
第四届红帽杯网络安全大赛WriteUp
Find it访问robots.txt有1ndexx.php这个文件的提示,于是猜测是.1ndexx.php.swp下载获取Index.php源码通过get请求会将code参数的内容经过过滤后写入到h...
05月18日132 views评论php
序列化
WebLogic CVE-2020-14756 T3/IIOP 反序列化RCE
复现分析在coherence包中 com.tangosol.io.ExternalizableLite 存在反序列化接口其借助com.tangosol.io.Externaliza...
05月17日218 views评论com
序列化
c#反序列化学习之TypeConfuseDelegate
反序列化漏洞在很多语言中都存在。之前一直在研究java的反序列化漏洞,但是想检验一下对于java反序列化漏洞的理解,于是我学习c#反序列化漏洞。当然,我也不是专业c#开发,没有正规接触过c#,所以有些...
05月17日124 views评论java
序列化
CTF竞赛 | PHP反序列化基础
通过序列化与反序列化我们可以很方便的在PHP中传递对象,下面小编给大家介绍反序列化的原理和一些常见的利用方式。01序列化和反序列化概述(1)序列化和反序列化:序列化:将对象的状态信息转换成可存储或者传...
05月15日168 views评论cve
php
Mojarra JSF ViewState 反序列化漏洞复现
漏洞概述 JavaServer Faces (JSF) 是一种用于构建 Web 应用程序的标准,Mojarra是一个实现了JSF的框架。在其2.1.29-08、2.0.11-04版本之前,没...
05月14日495 views评论vulhub
序列化
挖洞的过程往往伴随着不断踩坑
在xz社区上看到某CMS中存在反序列化触发点,可以触发ThinkPHP 5反序列任意文件删除的利用链。很早以前分析过一次低版本的反序列化RCE的利用链,但在这5.0.24版本中发现没有利用成功,于是就...
05月12日83 views评论rce
序列化
实战|CVE到内网然后拿下4个域控
作者:jen,文章转自黑白天实验室0x00 前言这次渗透测试是从一个CVE开始的,从CVE到内网然后到域控!手法简单!还是要多学习哈哈哈哈!啊啊啊,我想开学了!为什么不开学0x01 一切从CVE开始这...
05月10日43 views评论cve
windows
追洞小组 | Jdbc反序列化漏洞复现浅析
文章来源|MS08067 WEB攻防知识星球本文作者:爱吃芝士的小葵(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组目录1、前言+靶场搭建 2、漏洞复现 ...
05月10日85 views评论序列化
漏洞
Wecenter 反序列化执行任意 SQL
本文作者:Z1NG(信安之路核心成员)在先知社区里看到一篇漏洞分析文章,个人觉得很赞,于是就动手跟进调试一遍。漏洞分析的时候会踩很多的坑,也试图寻找新的利用点,繁多的代码看的脑壳都疼了,而文章梳理下来...
05月10日109 views评论序列化
漏洞
【漏洞预警】XStream < 1.4.16 多个反序列化漏洞
2021年3月13日,阿里云应急响应中心监测到 XStream 官方发布安全公告,披露多个反序列化漏洞。01漏洞描述XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方...
05月10日66 views评论cve
漏洞
63