反序列化 - 第 16 | CN-SEC 中文网

安全文章

phar反序列化在实战中的应用

免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号听风安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即...

11月24日10 views评论

阅读全文

安全文章

C3P0利用分析

前言 C3P0存在原生反序列化三种利用方式、拓展利用点 1.Java 原生态反序列化利用链 - 加载远程类 2.Json 反序列化利用链 - JNDI 3.Json 反序列化利用链 - HEX序列化字...

11月21日7 views评论

阅读全文

安全漏洞

XStream栈溢出漏洞

0x00 漏洞编号CVE-2024-470720x01 危险等级高危0x02 漏洞概述XStream是一个用于在Java对象和XML之间相互转换的工具，它能够将Java对象序列化为XML或JSON格式...

11月21日28 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/11/15】

2024-11-15 微信公众号精选安全技术文章总览洞见网安 2024-11-150x1 2024/11/14 CNVD漏洞跟踪复现报告Hacking Group 0434 2024-11-15 23...

11月21日13 views评论

阅读全文

代码审计

PyYAML反序列化深入刨析

基础知识Yaml简介YAML是一种直观的能够被电脑识别的的数据序列化格式，容易被人类阅读，并且容易和脚本语言交互，YAML类似于XML，但是语法比XML简单得多，对于转化成数组或可以hash的数据时是...

11月21日17 views评论

阅读全文

安全工具

Exp-Tools 集成高危漏洞exp的实用性工具

01工具介绍该工具使用了ExpDemo-JavaFX项目，保留了核心的数据包请求接口，使用jdk1.8环境开发。目前编写了oa、设备、框架、产品等多个系列，对相关漏洞进行复现和分析，极...

11月21日29 views评论

阅读全文

代码审计

Java安全-深度剖析CC链反序列化

作者：yueji0j1anke首发于公号：剑客古月的安全屋字数：3813阅读时间: 15min声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的...

11月21日5 views评论

阅读全文

安全工具

集成高危漏洞exp的实用性渗透工具

01 工具介绍该工具使用了ExpDemo-JavaFX项目，保留了核心的数据包请求接口，使用jdk1.8环境开发。目前编写了oa、设备、框架、产品等多个系列，对相关漏洞进行复现和分析，极力避免exp...

11月18日27 views评论

阅读全文

安全文章

jar包环境下注入内存马

免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢...

11月17日23 views评论

阅读全文

安全文章

某系统因属性污染导致的RCE漏洞分析

前几天在逛huntr的时候，发现一个很有意思的漏洞，他是通过反序列化从而去污染类和属性导致的rce，在作者的描述中大致说明的漏洞的原理，该漏洞是通过绕过`Deepdiff `的反序列化限制，包括绕过魔...

11月17日10 views评论

阅读全文

代码审计

fastjson1.2.24版本反序列化导致RCE

一. 漏洞介绍 fastjson是一个java编写的高性能功能非常完善的JSON库，应用范围非常广，在github上star数都超过8k，在2017年3月15日，fastjson...

11月14日11 views评论

阅读全文

代码审计

『代码审计』从零开始的 Yii2 框架学习之旅（3）

点击蓝字，关注我们日期：2023-03-30作者：Obsidian介绍：Yii2框架相关漏洞的新手学习记录。0x01 前言书接上回。在 yii2 version < =2.0.42 时，反序列化...

11月14日10 views评论

阅读全文

在线咨询

微信