作者:longofo@知道创宇404实验室时间:2025年2月16日本文为知道创宇404实验室内部分享沙龙“404 Open Day”的议题内容,作为目前团队AI安全研究系列的一部分,分享出来与大家一...
反序列化漏洞
01定义想象一下,你有一个复杂的玩具(对象),为了方便存放,你把它拆成零件(序列化)。当你需要玩的时候,再把零件拼回去(反序列化)。序列化:将对象(如Java对象、PHP数组)转换为字符串或二进制数据...
原来想去网安大厂,反序列化是跑不了的,被技术面麻了
最近一个星球中的小伙伴想我诉苦,说他面试的时候面试官尽然一只在问他反序列化相关的问题,他尽然emo了,今天特意的整理了下网络安全中常见的反序列化相关的面试题,需要的抓紧收藏。 网络安面试题库截止目前已...
通过JDBCparty 对 oracle 利用链分析
前言前些日子打了一个软件攻防赛,其中有一个 java 题,我记得结束的时候都是 0 解来着,因为官方也没有给 wp,所以就一直没有去解决,有一天看到 n1ght 师傅发了 poc,于是又去研究了一下,...
记一次攻防演练中的代码审计和0day漏洞挖掘
0x01 前言 在某年某月的一次攻防演练中,比赛难度较大,所有队伍都绕开了正面突破开始钓鱼和社工,场面像极了电信诈骗的现场。作为一名有传统情怀的WEB狗,还是希望能通过WEB站点寻找突破口。在对目标进...
【渗透知识】CC1利用链分析
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。[ 简介 ]—— 其实...
还不会利用JDBC,快来看看吧???
免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 由于传播、利用本公众号所发布的而造成的...
一次JDBC反序列化漏洞
在一次测试中遇到了数据库连接功能,这种功能点一般会存在jdbc反序列化漏洞。特征点:这种数据库连接点一般会存在jdbc反序列化漏洞打法:先试试打h2不出网利用链。该利用链需要对方服务器导入了h2依赖包...
帆软bi反序列化漏洞利用工具(V3.0)
0x01 工具介绍 帆软bi反序列漏洞利用工具 1、新增反序列化利用链2、新增数据库连接解密功能3、修复ssl证书问题 0x02 安装与使用 支持jackson、hibernate、cb反序列化链来进...
思科曝9.9分关键权限提升漏洞
关键词安全漏洞近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。漏洞编号为CVE - 2025 - 20156,CVSS评分...
简易的Java漏洞利用工具-ysoSimple
ysoSimple ysoSimple:简易的Java漏洞利用工具,集成Java反序列化,Hessian反序列化,XStream反序列化,SnakeYaml反序列化,Shiro550,JSF反序列化,...
漏洞分析 | 利用 CodeQL 分析 fastjson 1.2.80 利用链
前言前阵子浅蓝师傅在Kcon2022上公开了fastjson 1.2.80漏洞的利用思路和Gadget,根据漏洞利用思路,本文分析下如何利用CodeQL去挖掘fastjson 1.2.80的这些利用链...
9