反序列化 - 第 17 | CN-SEC 中文网

安全漏洞

用友反序列化漏洞 NC-Cloud blobRefClassSearch 反序列化用友RCE

漏洞复现‍‍‍‍‍fofa查询语句： app="用友-NC-Cloud" 利用脚本进行检测：‍‍‍‍‍ ‍ 手工复现： ‍ POC POST /ncchr/pm/ref/indiIss...

11月14日24 views评论

阅读全文

安全工具

用友漏洞一键探测利用

项目地址；https://github.com/Chave0v0/YONYOU-TOOL 有release 开源支持漏洞 ActionHandlerServlet 反序列化 Lfw_Core_Rpc...

11月14日61 views评论

阅读全文

安全文章

关于MFC的序列化与反序列化机制

概述序列化操作：将类对象的数据部分按照一定的规则进行二进制摆放，便于传输和存储等操作。反序列化：将二进制数据按照一定的规则填充到指定的类对象的数据区中，完成对象的数据填充操作。MFC的序列化对象的构建...

11月13日7 views评论

阅读全文

代码审计

Java反序列化-CommonsCollections1链分析

什么是CC? CC全称Commons Collections，主要封装了Java的集合相关类对象，它是Java中的一个组件利用链是什么? 你可以把他看做反序列化漏洞的EXP ，利用链首先要满足三...

11月12日6 views评论

阅读全文

安全工具

web-chians:一款全新的Java Payload生成框架

简介web-chains 包含但不限于以下功能：Java 反序列化Payload生成支持的混淆：随机集合混淆、垃圾类插入、TC_RESET 填充、utf8 overlong encoding 混淆He...

11月12日81 views评论

阅读全文

安全文章

ObjRef链

1.什么是ObjRef我们先来个省流版分析。要研究这个链子，还是得先回到.NET Remoting。还记得我们前面演示的时候，用于传递的类需要实现一个MarshalByRefObject吗？Marsh...

11月12日4 views评论

阅读全文

安全文章

记某次实战hessian不出网反序列化利用

前言某次攻防过程中我们发现了一个hessian反序列化漏洞，经过探测之后发现目标只有dns出网，tcp无法出网，然后我们开始了对目标的深度利用waf绕过首先目标存在一个waf，会拦截我们的Hessia...

11月11日27 views评论

阅读全文

代码审计

超详细 | Fastjson RCE漏洞

Fastjson1.2.24-RCE漏洞简介fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列...

11月11日83 views评论

阅读全文

代码审计

漏洞分析 | fastjson反序列化漏洞初探之parseObject

0x01 漏洞说明这里就主要分析一下fastjson 1.2.24版本通过parseObject来完成的反序列化漏洞，利用方法是通过JNDI注入的方式实现RCE，由于高版本的jdk对ldap和rmi有...

11月11日22 views评论

阅读全文

代码审计

学习yso之分析CC1链<=3.2.1(JAVA反序列化必学)

前言学习反序列化就肯定少不了学习CB，CC，CK等已有的链子来帮我我们理解各大反序列化漏洞的挖掘思路，漏洞利用，这里团队的XJiu师傅就带兄弟们先学习一下CC1这个经典链，它适用的依赖版本经常出现在框...

11月11日9 views评论

阅读全文

安全漏洞

XStream 二进制流驱动导致的堆栈溢出拒绝服务漏洞（CVE-2024-47072）

XStream 是一个流行的 Java 序列化库，广泛用于将对象转换为 XML 或 JSON 格式，以及从这些格式反序列化对象。XStream 提供了一个优化的二进制序列化格式，通过 BinarySt...

11月10日84 views评论

阅读全文

安全漏洞

Nacos Raft协议反序列化代码执行漏洞

通告编号:NS-2023-00232023-06-07TAG：Nacos、Raft、反序列化漏洞危害：攻击者利用漏洞可实现代码执行。版本：1.01漏洞概述近日，绿盟科技CERT监测发现到Nacos的R...

11月09日29 views评论

阅读全文

用友反序列化漏洞 NC-Cloud blobRefClassSearch 反序列化用友RCE

用友漏洞一键探测利用

关于MFC的序列化与反序列化机制

Java反序列化-CommonsCollections1链分析

web-chians:一款全新的Java Payload生成框架

ObjRef链

记某次实战hessian不出网反序列化利用

超详细 | Fastjson RCE漏洞

漏洞分析 | fastjson反序列化漏洞初探之parseObject

学习yso之分析CC1链<=3.2.1(JAVA反序列化必学)

XStream 二进制流驱动导致的堆栈溢出拒绝服务漏洞（CVE-2024-47072）

Nacos Raft协议反序列化代码执行漏洞

在线咨询

微信