反序列化 - 第 14 | CN-SEC 中文网

安全博客

PHP反序列化进阶学习与总结

目录说在前面pravite和Protected成员的序列化Private类型Protected类型Phar反序列化phar文件的结构：生成一个phar文件：漏洞利用条件phar受影响的文件操作函数：...

12月24日7 views评论

阅读全文

安全博客

Phar反序列化总结

目录前言phar反序列化漏洞的原理什么是phar文件？：phar文件的结构：生成一个phar文件：漏洞利用条件受影响的文件操作函数漏洞的利用实例一个简单的例子绕过文件格式限制配合PHP内核哈希表碰撞...

12月24日5 views评论

阅读全文

安全博客

JAVA RMI 反序列化攻击 & JEP290 Bypass分析

目录说在前面RMI 基础RPCJAVA 代理JAVA RMIJRMPRMI源码分析Server端注册中心(Registry)LocateRegistry.createRegistryLocateRe...

12月24日10 views评论

阅读全文

安全博客

JAVA反序列化 & Commons-Collections-3.1 反序列化分析

目录基础知识简单例子反序列化触发点扩展ObjectInputStream.readUnsharedXMLDecoder.readObjectYaml.loadXStream.fromXMLObjec...

12月24日4 views评论

阅读全文

安全工具

Java反序列化GUI利用工具

反序列化漏洞是一个常见且危险的安全风险，如果没有做好防范，很容易就会让攻击者乘虚而入。为了评估我们的系统安全性，试了一个开源工具——Java反序列化GUI利用工具。这个工具简单易用，只需直接运行 s...

12月23日36 views评论

阅读全文

代码审计

Java反序列化之RMI(一)

Java RMI0x01 RMI简介RMI(Remote Method Invocation)远程方法调用，一种允许程序跨JVM调用对象的思想。调用方法即会涉及到参数传递，在Java中，如果我们想完整...

12月18日7 views已关闭评论

阅读全文

安全文章

【yso】 - URLDNS反序列化分析

前言gadget分析触发过程 POC测试代码 HashMap HashMap的原理设置新键值对读取key的value 反序列化过...

12月17日2 views评论

阅读全文

安全工具

Exp-Tools:一款集成高危漏洞EXP的实用工具

0x01 简介该工具使用了ExpDemo-JavaFX项目，保留了核心的数据包请求接口，使用jdk1.8环境开发。目前编写了oa、设备、框架、产品等多个系列，对相关漏洞进行复现和分析，极力避...

12月16日57 views评论

阅读全文

安全文章

不安全的反序列化object injection漏洞

点击蓝字关注我们始于理论，源于实践，终于实战老付话安全，每天一点点激情永无限，进步看得见严正声明本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...

12月10日27 views评论

阅读全文

CTF专场

PHP反序列化ctf题解

unseping（序列化）题目：<?php highlight_file(__FILE__);class ease{ private $method; private $args; functi...

12月10日10 views评论

阅读全文

安全百科

什么是序列化与反序列化

12月09日14 views评论

阅读全文

代码审计

24.学习ysoserial.net的plugins第三弹

（.NET反序列化今年没有多少篇啦，除开这篇后续的都挺有活的）1.SessionSecurityTokenHandler还是先来看一下这个的安全问题，在其ReadToken()方法中可以看到一个非常明...

12月09日16 views评论

阅读全文

PHP反序列化进阶学习与总结

Phar反序列化总结

JAVA RMI 反序列化攻击 & JEP290 Bypass分析

JAVA反序列化 & Commons-Collections-3.1 反序列化分析

Java反序列化GUI利用工具

Java反序列化之RMI(一)

【yso】 - URLDNS反序列化分析

Exp-Tools:一款集成高危漏洞EXP的实用工具

不安全的反序列化object injection漏洞

PHP反序列化ctf题解

什么是序列化与反序列化

24.学习ysoserial.net的plugins第三弹

在线咨询

微信