免责声明文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。产品简介JumpServer 是广受欢迎...
『代码审计』ysoserial CB1 无依赖反序列化利用链分析
点击蓝字,关注我们日期:2024-03-11作者:ICDAT介绍:这篇文章主要是对 ysoserial CB1 的无依赖反序列化无利用链进行分析。0x00 前言我们上一篇文章分析了ysoserial中...
CVE-2021-3129 Laravel远程代码执行利用工具
发现github上有的工具不太好用,针对现有工具进行了下优化加了几个利用链,重写了log判断地址https://github.com/Axianke/CVE-2021-3129使用方法python3 ...
【Fastjson】- 初识Fastjson-1.2.24反序列化漏洞
前言本地环境搭建Fastjson 使用 将对象序列化为json字符串 将json字符串反序列化为对象反序列化漏洞成因及利用链 漏洞成因 TemplatesImpl 反序列化链 ...
一条新的glibc IO_FILE利用链:_IO_obstack_jumps利用分析
前言 众所周知,由于移除了__malloc_hook/__free_hook/__realloc_hook等等一众hook全局变量,高版本glibc想要劫持程序流,离不开攻击_IO_FILE。而笔者近...
『代码审计』ysoserial CB1 反序列化分析
点击蓝字 关注我们 日期:2023-11-14作者:ICDAT介绍:这篇文章主要是对ysoserial CB1反序列化利用链进行分析。0x00 前言最近打了比较多的攻防演练,发现shiro反序列化漏洞...
CISA 提醒注意已遭活跃利用的 Juniper 预认证 RCE 利用链
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士今天,CISA 提醒联邦机构称,本周五前应修复四个已组合成预认证利用链的用于远程代码执行 (RCE) 攻击中的漏洞。一周前,Juniper 更新其安全...
成果分享|Java反序列化漏洞自动化挖掘和可利用性验证
元喜迎2024旦 复旦大学系统软件与安全实验室在开源代码治理方面取得新进展。本团队为Java反序列化漏洞的挖掘和利用上提供了一套高效的端到端的新方案和工具...
浅说AMF反序列化及利用链构造
点击上方·关注我们吧首先查看常规项目中,amf的配置入口,MessageBrokerServlet类处理/messagebroker/*请求接下来跟下去查看流程,在MessageBrokerServl...
shiro无依赖利用链
shiro无依赖利用链CommonsBeanutils与无commons-collections的Shiro反序列化利用在Shiro中使用无CommonsCollections依赖的CommonsBe...
漏洞分析|Adobe ColdFusion WDDX 序列化漏洞利用
Goby社区第 31 篇技术分享文章全文共:2544字 预计阅读时间:9 分钟 01 概述在上一篇有关 Adobe ...
Java安全之cc4,cc2,cc5,cc7
前言 前面我们都是学的利用链使用commons.collections都是3版本的,我们今天来看一下4版本有哪些利用方式。下面我们会把cc4,cc2,cc5,cc7都进行探讨。声明:文章中涉及的内容可...