序列化概念序列化就是将一个对象转换成字符串,字符串包括该对象对应的类名,属性个数、属性名、属性值、属性名、值的类型和长度。反序列化则是将字符串重新恢复成对象,在反序列化一个对象前,这个对象的类必须在解...
04月23日54 views评论flag
序列化
反序列化的深入探讨
04月23日54 views评论flag
序列化
04月23日54 views评论flag
序列化
剖析xmlDecoder反序列化
这是 酒仙桥六号部队 的第 130 篇文章。全文共计1727个字,预计阅读时长6分钟。一直想写个代码审计的文章,和大腿们交流下思路,正好翻xxe的时候看到一个j...
04月23日39 views评论xmldecoder
序列化
Yii2 反序列化漏洞复现分析
1、漏洞描述Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize() 时,攻击者可通过构造特定的恶意请求...
04月22日133 views评论php
漏洞
XStream 反序列化漏洞复现(CVE-2020-26258/CVE-2020-26259)
漏洞描述XStream是一个常用的Java对象和XML相互转换的工具。近日,XStream官方发布了新版的XStream 1.4.15,并修复了两个CVE漏洞,分别是CVE-2020-26258和CV...
04月22日121 views评论cve
漏洞
SnakeYaml 反序列化的一个小 trick
背景这是我在做某个代码审计项目时遇到的场景,一个 yaml 解析的功能使用了 snakeyaml 来处理 yaml,snakeyaml 一般情况下是可以直接进行反序列化攻击的。但这里它做了一个前提条件...
04月21日237 views评论java
序列化
Weblogic T3 反序列化简单复现
简介hvv期间公开的漏洞,漏洞利用利用链和Jdk7u21差不多,简单记录一下。漏洞分析通过解析poc中的序列化内容,发现这次使用的是java.rmi.MarshalledObject来绕过黑名单。ja...
04月21日216 views评论序列化
漏洞
漏洞复现:CVE-2016-4437 Apache Shiro 反序列化
某C 1day 反序列化漏洞的武器级利用
虽然打厚码,但是好兄弟们依旧知道我在说什么。这个java cms的反序列化点极多,而且报文中没有多少特征。至于这个是不是你们说的0day/1day,我就不清楚了,好兄弟们自行分辨。 首先从任意文件上传...
04月08日199 views评论序列化
漏洞
PHP的反序列化POP链利用研究
0x01 基本概念POP:Property-Oriented Programming 面向属性编程POP链:通过多个属性/对象之前的调用关系形成的一个可利用链(如有错误请指正)PHP魔法函数...
04月08日54 views评论php
序列化
Xstream反序列化远程代码执行漏洞深入分析
0x00 前言Xstream是java中一个使用比较广泛的XML序列化组件,本文以近期Xstream爆出的几个高危RCE漏洞为案例,对Xstream进行分析,同时对POC的构成原理进行讲解0...
04月03日62 views评论xml
序列化
PHP源码中unserialize函数引发的漏洞分析
0x01 unserialize函数的概念 首先看下官方给出的解释:unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可为 integer、f...
04月03日46 views评论php
序列化
PHP string序列化与反序列化语法解析不一致带来的安全隐患
PHP string序列化与反序列化语法解析不一致带来的安全隐患 原文地址:http://www.80vul.com/pch/pch-010.txt author: ryat#www.wolvez.o...
04月03日lcx79 views评论patch
序列化
63