反序列化 - 第 26 | CN-SEC 中文网

安全新闻

Apache Avro SDK曝关键漏洞，可在Java中执行任意代码

Apache Avro Java软件开发工具包（SDK）中披露了一个关键安全漏洞，如果成功利用，可以在易受攻击的实例上执行任意代码。该漏洞编号为CVE-2024-47561，影响1.11.4之前版本的...

10月08日18 views评论

阅读全文

安全文章

1.XmlSerializer反序列化点以及ObjectDataProvider链

1.前言本系列记录一下关于.NET安全中反序列化相关的安全知识吧，网上的很多关于这方面的文章感觉都有些年头了，主要侧重于审计层面，跟随前辈的脚步来研究一下。2.关于XmlSerializer首先我们就...

10月08日29 views评论

阅读全文

安全漏洞

金蝶 EAS 反序列化 RCE 漏洞PoC

0x02 漏洞描述金蝶 EAS 存在反序列化 RCE 漏洞。 0x03 漏洞复现 body="easSessionId" || header="easportal" 1.执行poc构造fastjso...

10月08日97 views评论

阅读全文

安全文章

xxl-job Hessian2反序列化漏洞深入利用

前言 xxl-job Hessian2反序列化漏洞本身是一个挺老的漏洞了，影响版本也比较老，在一次项目中碰到了xxl-job，其/api接口可以未授权访问存在hessian2反序列化漏洞...

10月08日92 views评论

阅读全文

安全文章

Java Payload 生成框架的设计与实现

一、前言我们在实战渗透过程中，尤其是国内，遇到很多Java语言编写的站点居多，同时这里会存在很多Java漏洞场景。例如在Shiro 550中，以Java反序列化点为漏洞入口起点，使用 ...

10月05日40 views评论

阅读全文

安全文章

ysoserial中的URLDNS分析

ysoserial的URLDNS是最简单的一条链自写的代码如下：package ysotest;import ysoserial.payloads.util.Reflections;import ja...

09月28日19 views评论

阅读全文

安全漏洞

金蝶云RCE漏洞（附EXP）

0x01 前言金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云星空ERP存在远程代码执行漏洞，由于金蝶云星空数据通信默认采用的是...

09月28日93 views评论

阅读全文

代码审计

第十七课-系统学习代码审计：Java反序列化基础-类加载过程和类加载器讲解

视频教程：( https://www.bilibili.com/video/BV1KT421k7ZE )主要内容：1、类加载过程2、jvm内置的三种类加载器3、双亲委派机制4、自定义类加载5、URLC...

09月26日27 views评论

阅读全文

安全工具

Jeecg 框架漏洞利用工具

在一次针对 jeecg 框架的渗透测试中，我使用了这个工具来执行登录绕过的检测。通过简单几步操作，我就可以快速验证应用是否存在这个常见漏洞。而且，这个工具运行起来也十分方便，只需在jdk11环境下执行...

09月26日50 views评论

阅读全文

安全漏洞

某软BI v5反序列化绕过

漏洞已提交，厂商已修复cb链某软存在cb链，先生成cb链的字节数组，package org.example;import com.sun.org.apache.xalan.internal.xsltc...

09月25日29 views评论

阅读全文

代码审计

【JAVA安全】CC6反序列化利用

书接上文，我们已经可以通过CC6利用链执行calc命令了。【JAVA安全】CC6反序列化链调试下面就要改造下脚本使其不仅仅是弹计算器这么简单defineClass先给出最标准的defineClass执...

09月24日22 views评论

阅读全文

安全文章

xstream反序列化漏洞打内存马

xstream组件还是用的比较多的。实战当中也有很多xstrem漏洞引发的RCE漏洞案例如下图所示使用xstream对可控数据进行反序列化使用xslt链内存马攻击成功原文始发于微信公众号（代码审计St...

09月23日30 views评论

阅读全文

在线咨询

微信