RMI攻击(三)Client 端攻击 Server 端Server 端反序列化 Client 端恶意参数利用Server 端反序列化 Client 端恶意参数进行攻击需要满足以下两个条件:1.知晓 S...
10月29日14 views评论rmi
反序列化
RMI攻击(三)
10月29日14 views评论rmi
反序列化
10月29日14 views评论rmi
反序列化
12.Fastjson(.NET)反序列化点前篇
1.Fastjson的使用.NET版本的Fastjson如何呢,用它序列化试试,这里要对Y4er师傅的代码修改一下,如果这个类没有public的标记,反序列化的时候会出现错误加上public就好了:2...
10月29日15 views评论反序列化
序列化
网安原创文章推荐【2024/10/28】
2024-10-28 微信公众号精选安全技术文章总览洞见网安 2024-10-280x1 12.Fastjson(.NET)反序列化点前篇HW专项行动小组 2024-10-28 22:11:30本文主...
10月29日28 views评论反序列化
漏洞复现
10.JavaScriptSerializer反序列化点
1.JavaScriptSerializer基础使用这也是一个用于json序列化与反序列化的类,学习一下使用。先写一个用于测试的类,注意这个类可以不用打上Serializable特性序列化与反序列化流...
10月29日16 views评论反序列化
序列化
FastJson与原生反序列化-二
FastJson与原生反序列化(二)很早之前在发第一篇的时候@jsjcw师傅就曾提到1.2.49后也能利用引用绕过,后面由@1ue师傅在知识星球中利用这个思路成功绕过并分享了payload,至此fas...
10月29日13 views评论fastjson
反序列化
FastJson与原生反序列化
FastJson与原生反序列化前言这其实是我很早前遇到的一个秋招面试题,问题大概是如果你遇到一个较高版本的FastJson有什么办法能绕过AutoType么?我一开始回答的是找黑名单外的类,后面面试官...
10月29日18 views评论fastjson
反序列化
XStream反序列化
XStream反序列化XStream简介XStream是一个简单的基于Java库,Java对象序列化到XML,反之亦然(即:可以轻易的将Java对象和xml文档相互转换)。反序列化基本原理XStrea...
10月29日10 views评论xstream
反序列化
SnakeYAML反序列化及可利用Gadget
SnakeYAML反序列化及可利用GadgetSnakeYaml简介YAML是”YAML Ain’t a Markup Language”(YAML不是一种标记语言)的递归缩写,是一个可读性高、用来表...
10月29日8 views评论struct
反序列化
对Java反序列化脏数据绕WAF新姿势的补充
对Java反序列化脏数据绕WAF新姿势的补充引言相信大家都看过回忆飘如雪大师傅的一篇文章,Java反序列化数据绕WAF之加大量脏数据,在这篇文章当中大师傅提出了通过将gadget加入到集合类型从而可以...
10月28日6 views评论urldns
反序列化
PHP序列及反序列化安全漏洞
1.序列化和反序列化序列化是将变量或对象转换成字符串的过程;反序列化是将字符串转换成变量或对象的过程。序列化及反序列化常见函数:serialize、unserialize、json_encode、js...
10月28日安全文章7 views评论反序列化
序列化
11.Json.Net反序列化点(前篇)以及XamlImageInfo、GetterSecurityException相关链
1.Json.Net的使用首先还是一个没有序列化特性的类然后进行序列化,注意这里的两个序列化操作,一个就是完全普通的序列化,还有一个在序列化时SerializeObject方法的第二个参数传入Json...
10月28日18 views评论payload
反序列化
网安原创文章推荐【2024/10/24】
2024-10-24 微信公众号精选安全技术文章总览洞见网安 2024-10-240x1 【应急响应】记一次监测发现webshell告警的应急响应过程利刃信安 2024-10-24 20:40:47【...
10月25日24 views评论反序列化
应急响应
85