序列化 - 第 8 | CN-SEC 中文网

代码审计

Java安全-利用链.URLDNS

URLDNSURLDNS链是用来检测目标是否存在反序列化漏洞的，他的优点就是不限java版本，因为实在HashMap中触发的很难去对他进行限制，但是仅限于使用他验证是否存在反序列化漏洞，无法进行其他操...

11月12日5 views评论

阅读全文

安全文章

记某次实战hessian不出网反序列化利用

前言某次攻防过程中我们发现了一个hessian反序列化漏洞，经过探测之后发现目标只有dns出网，tcp无法出网，然后我们开始了对目标的深度利用waf绕过首先目标存在一个waf，会拦截我们的Hessia...

11月11日28 views评论

阅读全文

代码审计

超详细 | Fastjson RCE漏洞

Fastjson1.2.24-RCE漏洞简介fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列...

11月11日87 views评论

阅读全文

代码审计

漏洞分析 | fastjson反序列化漏洞初探之parseObject

0x01 漏洞说明这里就主要分析一下fastjson 1.2.24版本通过parseObject来完成的反序列化漏洞，利用方法是通过JNDI注入的方式实现RCE，由于高版本的jdk对ldap和rmi有...

11月11日23 views评论

阅读全文

安全漏洞

XStream 二进制流驱动导致的堆栈溢出拒绝服务漏洞（CVE-2024-47072）

XStream 是一个流行的 Java 序列化库，广泛用于将对象转换为 XML 或 JSON 格式，以及从这些格式反序列化对象。XStream 提供了一个优化的二进制序列化格式，通过 BinarySt...

11月10日103 views评论

阅读全文

安全漏洞

PyTorch反序列化漏洞

0x00 漏洞编号CVE-2024-480630x01 危险等级高危0x02 漏洞概述PyTorch是一个开源的深度学习框架，广泛用于机器学习和人工智能领域。0x03 漏洞详情CVE-2024-480...

11月09日43 views评论

阅读全文

安全职场

一文讲懂蓝队面试shiro漏洞知识点

shiro550环境搭建shiro-550 IDEA环境配置：https://blog.csdn.net/qq_47886905/article/details/123479769漏洞代码：https...

11月08日10 views评论

阅读全文

安全文章

一文读懂四种常见的php反序列化

0x01.前言花些时间把四种常见的php反序列化总结了一遍，各自都找了简单示例和ctf例题，参考了一些师傅的链接加上自己的理解，如果有什么错误，请师傅们多多指点，参考链接放在文末 0x02.反序列化...

11月07日12 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/11/5】

2024-11-05 微信公众号精选安全技术文章总览洞见网安 2024-11-050x1 第十八课-系统学习代码审计：Java反序列化基础-原生方式的序列化和反序列化简单使用安全随心录 2024-11...

11月06日14 views评论

阅读全文

代码审计

第十八课-系统学习代码审计：Java反序列化基础-原生方式的序列化和反序列化简单使用

/ 写在前面 /好久没更新新了，后面还会持续更新，至少每周一篇🥰🥰需要进群的小伙伴私信就行了，可能回复不及时，看到会回复。视频教程：https://www.bilibili.com/video/BV1...

11月06日9 views评论

阅读全文

代码审计

18.补充以前没学到的链子以及BinaryFormatter序列化数据特征

1.ClaimsPrincipal也即这条链子问题出在这个OnDeserializedMethod方法，有[OnDeserialized]特性，反序列化过程中会触发这里把m_serializedCla...

11月05日27 views评论

阅读全文

安全工具

utf8 overlong agent

使用 agent 替换writeUTF和writeUTFBody函数，从而在序列化时生成utf8 overlong数据，绕过流量层检测。下载 https://github.com/Ar3h/utf8...

10月30日10 views评论

阅读全文

在线咨询

微信