TP反序列化分析 最近看到最新版tp6.0.13出了新的反序列化链子,因为我反序列化比较菜,所以本篇在Na...
09月26日89 views评论poc
反序列化
洞见简报【2022/9/24】
2022-09-24 微信公众号精选安全技术文章总览洞见网安 2022-09-240x1 使用 Impacket 远程执行代码Enginge 2022-09-24 23:10:29“人年老时...
09月26日安全新闻48 views评论反序列化
配置文件
JBoss EAP/AS <= 6.* RCE及rpc回显
前言看到推上发了jboss的0day rce,分析一下。这个洞是在国外Alligator Conference 2019会议上的一个议题,ppt在这里 https://s3.amazonaw...
09月23日83 views评论rce
反序列化
Weblogic T3协议白名单绕过方法探索
去年weblogic出白名单时研究了下怎么绕过,总结出了下面的思路,本想再找找有无新的攻击面的思路,但是找了几次都没找到,后来就搁置了。昨天看见https://xz.aliyun.com/t/1103...
09月19日20 views评论weblogic
反序列化
九维团队-绿队(改进)| shiro反序列化漏洞源码分析
shiro介绍Apache Shiro是企业常见的JAVA安全框架,执行身份验证、授权、密码和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。sh...
09月15日77 views评论反序列化
序列化
PHP Phar反序列化浅学习
前言 Phar反序列化是PHP反序列化的一个重要部分,进行相关学习后,简单总结如下,希望对正在学习的师傅有所帮助。 了解Phar Phar含义 可以认为Phar是PHP的压缩文档,是PHP中类似于JA...
09月15日45 views评论phar
反序列化
SnakeYaml反序列化
出品|先知社区(ID:dawntown)“声明以下内容,来自先知社区的dawntown作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以...
09月14日40 views评论反序列化
序列化
Java反序列化技术分享(2) 加载类的几种方法
Java是编译型语言,所有的Java代码都需要被编译成字节码来让JVM执行。Java类初始化时会调用 java.lang.ClassLoader 加载类字节码,ClassLoader会调用define...
09月13日102 views评论loader
反序列化
redis未授权到shiro反序列化【文末抽奖】
redis未授权到shiro反序列化0x01 简介在一次渗透测试的过程中发现6379端口上开着一个未授权的redis,尝试利用redis进行rce失败。又发现redis缓存了shiro的session...
09月10日163 views评论rce
网络安全
原生反序列化链 jdk8u20 的新构造
自己构造 jdk8u20 反序列化链子,构造思路比网上的大多数都简单很多,exp也更短 感觉我之前那个 bypass __wakeup() 的 trick 和 8u20 绕过 7u21 的方式异曲同工...
09月08日28 views评论type
反序列化
CNNVD 关于Oracle WebLogic Server远程代码执行漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到Oracle WebLogic Server远程代码执行漏洞(CNNVD-201810-781、CVE-2018-3245)情况的报送。攻击者可利用该漏洞在未...
09月03日42 views评论攻击者
远程代码执行漏洞
PHP 代码审计学习路线规划
PHP代码审计学习路线,我整理成了下面七个阶段在这里,我们专注于PHP代码审计,让大家可以从零基础入门学习PHP代码审计,最终具备独立PHP代码审计漏洞挖掘的能力。当然你有基础也完全可以跟着我们一起学...
09月01日153 views评论代码审计
反序列化
85