利用链 | CN-SEC 中文网

代码审计

如何从 0 在不断调试中挖掘一条新利用链

前言在挖掘在 hutool 组件的漏洞的时候，尝试构造利用 POC 的时候并不是那么顺利，最后也是一步一步不断调试分析构造出了我们的 POC失败的调用起源在一次失败的调用import cn.hutoo...

2小时前5 views评论

阅读全文

安全文章

JDBC注入无外网（上）：从HertzBeat聊聊SnakeYAML反序列化

上周日联合@Ar3h 师傅一起，在【代码审计知识星球】里发布了一个Springboot的小挑战：https://t.zsxq.com/tSBBZ，这个小挑战的核心目标是在无法连接外网的情况下，如何利用...

04月10日6 views评论

阅读全文

安全新闻

疑似NSA网攻行动曝光：神秘零日漏洞利用链目标针对俄媒体科研机构

卡巴斯基日前披露一起尖端的网攻行动，受害者点击定向钓鱼邮件中的链接，该页面暗藏零日漏洞利用代码，可远程绕过Chrome浏览器的沙盒保护机制，结合另一个未知漏洞即可实现远程代码执行，控制受害者的设备；根...

04月02日8 views评论

阅读全文

安全工具

第117篇：ysoserial反序列化漏洞利用工具修改版，支持JDK1.5老旧系统

Part1 前言大家好，我是ABC_123。好久没有更新红队技术方面的文章了，自己之前写了很多小工具，后续修正一些bug修改后，陆续放出来给大家用一用。Ysoserial是老外写的java反序列...

03月16日16 views评论

阅读全文

安全新闻

谷歌修复已遭利用的安卓0day

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士谷歌发布安卓3月安全更新，修复了43个漏洞，包括已遭利用的两个0day。塞尔维亚当局利用位于Human Interface Devices Linux...

03月06日19 views评论

阅读全文

安全新闻

【漏洞速递】VMware ESXi新型漏洞CVE-2025-22224-22226利用链已出现在野利用

VMware ESXi 是一款虚拟化平台，广泛应用于企业数据中心及云环境，旨在提供高效、灵活的虚拟化解决方案。近期互联网披露，ESXi 中存在三个严重漏洞（CVE-2025-22224、CVE-202...

03月05日50 views评论

阅读全文

安全漏洞

关于Spring framework rce（CVE-2022-22965）的一些问题思考

引言千呼万唤始出来，在Spring rce漏洞在野曝光了一段时间后，Spring官方终于在3月31日发布了漏洞信息，在新版本v5.3.18和v5.2.20中修复了该漏洞，漏洞编号CVE-2022-22...

02月22日13 views评论

阅读全文

代码审计

Ysoserial CC1利用链构造分析

YsoserialCC1利用链构造分析一.前言：CC链即Apache Commons Collections是Apache软件基金会的项目,Commons-Collections 试图通过提供新的接口...

02月20日4 views评论

阅读全文

安全文章

原创 Paper | 基于污点分析的 AI 自动化漏洞挖掘尝试

作者：longofo@知道创宇404实验室时间：2025年2月16日本文为知道创宇404实验室内部分享沙龙“404 Open Day”的议题内容，作为目前团队AI安全研究系列的一部分，分享出来与大家一...

02月20日74 views评论

阅读全文

安全百科

反序列化漏洞

01定义想象一下，你有一个复杂的玩具（对象），为了方便存放，你把它拆成零件（序列化）。当你需要玩的时候，再把零件拼回去（反序列化）。序列化：将对象（如Java对象、PHP数组）转换为字符串或二进制数据...

02月18日22 views评论

阅读全文

安全职场

原来想去网安大厂，反序列化是跑不了的，被技术面麻了

最近一个星球中的小伙伴想我诉苦，说他面试的时候面试官尽然一只在问他反序列化相关的问题，他尽然emo了，今天特意的整理了下网络安全中常见的反序列化相关的面试题，需要的抓紧收藏。网络安面试题库截止目前已...

02月18日33 views评论

阅读全文

安全文章

通过JDBCparty 对 oracle 利用链分析

前言前些日子打了一个软件攻防赛，其中有一个 java 题，我记得结束的时候都是 0 解来着，因为官方也没有给 wp，所以就一直没有去解决，有一天看到 n1ght 师傅发了 poc，于是又去研究了一下，...

02月17日18 views评论

阅读全文

如何从 0 在不断调试中挖掘一条新利用链

JDBC注入无外网（上）：从HertzBeat聊聊SnakeYAML反序列化

疑似NSA网攻行动曝光：神秘零日漏洞利用链目标针对俄媒体科研机构

第117篇：ysoserial反序列化漏洞利用工具修改版，支持JDK1.5老旧系统

谷歌修复已遭利用的安卓0day

【漏洞速递】VMware ESXi新型漏洞CVE-2025-22224-22226利用链已出现在野利用

关于Spring framework rce（CVE-2022-22965）的一些问题思考

Ysoserial CC1利用链构造分析

原创 Paper | 基于污点分析的 AI 自动化漏洞挖掘尝试

反序列化漏洞

原来想去网安大厂，反序列化是跑不了的，被技术面麻了

通过JDBCparty 对 oracle 利用链分析

在线咨询

微信