利用链 | CN-SEC 中文网

安全新闻

网安原创文章推荐【2025/5/4】

2025-05-04 微信公众号精选安全技术文章总览洞见网安 2025-05-04 0x1 FastJSON × JdbcRowSetImpl 利用链是否还有效？全面解析如何突破 JDK 安全限制季升...

14小时前5 views评论

阅读全文

FastJSON × JdbcRowSetImpl 利用链是否还有效？全面解析如何突破 JDK 安全限制

☣️ FastJSON × JdbcRowSetImpl 反序列化利用分析📌 一、类简介：JdbcRowSetImpl全类名：com.sun.rowset.JdbcRowSetImplJDK 自带类（...

20小时前安全文章4 views评论

阅读全文

安全新闻

Craft CMS RCE利用链用于窃取数据

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士Orange Cyberdefense 公司提到，Craft CMS 中存在两个漏洞，可用于攻陷服务器和窃取数据。这两个漏洞是由 Orange C...

04月27日26 views评论

阅读全文

代码审计

【代码审计】记某次项目前台反序列化RCE漏洞研究

点击上方蓝字关注我们并设为星标0x01 过程一套涉Zha的系统，名字就不给出了，貌似用的人还挺多.该项目框架:ThinkPHP 5.0.24 Debug:True翻遍了所有代码，上传点都限制的比较死...

04月21日13 views评论

阅读全文

代码审计

如何从 0 在不断调试中挖掘一条新利用链

前言在挖掘在 hutool 组件的漏洞的时候，尝试构造利用 POC 的时候并不是那么顺利，最后也是一步一步不断调试分析构造出了我们的 POC失败的调用起源在一次失败的调用import cn.hutoo...

04月14日13 views评论

阅读全文

安全文章

JDBC注入无外网（上）：从HertzBeat聊聊SnakeYAML反序列化

上周日联合@Ar3h 师傅一起，在【代码审计知识星球】里发布了一个Springboot的小挑战：https://t.zsxq.com/tSBBZ，这个小挑战的核心目标是在无法连接外网的情况下，如何利用...

04月10日7 views评论

阅读全文

安全新闻

疑似NSA网攻行动曝光：神秘零日漏洞利用链目标针对俄媒体科研机构

卡巴斯基日前披露一起尖端的网攻行动，受害者点击定向钓鱼邮件中的链接，该页面暗藏零日漏洞利用代码，可远程绕过Chrome浏览器的沙盒保护机制，结合另一个未知漏洞即可实现远程代码执行，控制受害者的设备；根...

04月02日11 views评论

阅读全文

安全工具

第117篇：ysoserial反序列化漏洞利用工具修改版，支持JDK1.5老旧系统

Part1 前言大家好，我是ABC_123。好久没有更新红队技术方面的文章了，自己之前写了很多小工具，后续修正一些bug修改后，陆续放出来给大家用一用。Ysoserial是老外写的java反序列...

03月16日22 views评论

阅读全文

安全新闻

谷歌修复已遭利用的安卓0day

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士谷歌发布安卓3月安全更新，修复了43个漏洞，包括已遭利用的两个0day。塞尔维亚当局利用位于Human Interface Devices Linux...

03月06日20 views评论

阅读全文

安全新闻

【漏洞速递】VMware ESXi新型漏洞CVE-2025-22224-22226利用链已出现在野利用

VMware ESXi 是一款虚拟化平台，广泛应用于企业数据中心及云环境，旨在提供高效、灵活的虚拟化解决方案。近期互联网披露，ESXi 中存在三个严重漏洞（CVE-2025-22224、CVE-202...

03月05日59 views评论

阅读全文

安全漏洞

关于Spring framework rce（CVE-2022-22965）的一些问题思考

引言千呼万唤始出来，在Spring rce漏洞在野曝光了一段时间后，Spring官方终于在3月31日发布了漏洞信息，在新版本v5.3.18和v5.2.20中修复了该漏洞，漏洞编号CVE-2022-22...

02月22日13 views评论

阅读全文

代码审计

Ysoserial CC1利用链构造分析

YsoserialCC1利用链构造分析一.前言：CC链即Apache Commons Collections是Apache软件基金会的项目,Commons-Collections 试图通过提供新的接口...

02月20日4 views评论

阅读全文

在线咨询

微信