反序列化 - 第 71 | CN-SEC 中文网

安全文章

Ruby安全漫谈

V-lab实验室随着Ruby越来越流行，Ruby相关的安全问题也逐渐暴露，目前，国内专门介绍Ruby安全的文章较少，本文结合笔者所了解的Ruby安全知识点以及挖掘到的Ruby相关漏洞进行描述，希望能给...

08月28日65 views评论

阅读全文

代码审计

commons-collections反序列化利用链分析（3）

前边分析了CC1和CC2利用链，总体来说都是通过InvokerTransformer#transforme反射调用导致代码执行，但具体构造，先回顾一下CC1和CC2的思路。CC1新建一个map并绑定构...

08月28日33 views评论

阅读全文

安全文章

Fastjson<=1.2.47版本远程代码执行漏洞复现

一、漏洞介绍0x01 fastjson介绍 Fastjson是阿里巴巴公司开源的一款json...

08月22日127 views评论

阅读全文

代码审计

Java反序列化基础篇反序列化概念与利用

0x01 前言写这篇文章，是想在 Java 反序列化基础的地方再多过几遍，毕竟万丈高楼平地起。我是非常不建议新手们一上来就开始分析 CC 链，就开始看 shiro 的 POC 的，我觉得还是得先打好基...

08月21日32 views评论

阅读全文

安全文章

实战 | 记一次从Flarum开始的RCE之旅

点击蓝字 / 关注我们事先声明：本次测试过程完全处于本地或授权环境，仅供学习与参考，不存在未授权测试过程，请读者勿使用该漏洞进行未授权测试，否则作者不承担任何责任一次日常测试中，偶...

08月20日76 views评论

阅读全文

CTF专场

二次反序列化看我一命通关

前言不记得是哪一场比赛了，遇到了一个 Java 的题目，过滤了很多关键类，不管茯苓把 CC 链如何拆开组合，都没有办法绕过。就在此时，大佬看了一眼说，用二次反序列化就可以绕过了。“二次反序列化”这...

08月18日190 views评论

阅读全文

安全开发

Hessian 序列化、反序列化

动手点关注干货不迷路 👆背景问题和思考：序列化参数有枚举属性，序列化端增加一个枚举，能否正常反序列化？序列化子类，它和父类有同名参数，反序列化时，同名参数能否能正常赋值？序列化对象增加参数，...

08月05日34 views评论

阅读全文

HW&HVV

2022HW-8.3情报整理

免责声明由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即...

08月04日894 views评论

阅读全文

安全文章

IVANTIAVALANCHE漏洞利用（下）

IVANTIAVALANCHE漏洞利用（上）是否需要任何身份验证？此时，我似乎拥有了发送我自己的信息所需的一切。但是，当我发送时，我看到目标服务没有任何反应。我查看了InfoRail服务日志文件，发现...

07月31日44 views评论

阅读全文

代码审计

PHP反序列化漏洞学习记录

No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必...

07月25日59 views评论

阅读全文

代码审计

浅谈JAVA反序列化原理

猩红实验室欢迎投稿分享交流 ...

07月22日49 views评论

阅读全文

代码审计

『代码审计』ysoserial CommonsCollections 1 反序列化分析

点击蓝字关注我们日期：2022-07-18作者：ICDAT介绍：这篇文章主要是对 ysoserial CommonsCollections 1 反序列化链分析。0x00 前言前面我们首先啃了 Com...

07月20日64 views评论

阅读全文

Ruby安全漫谈

commons-collections反序列化利用链分析（3）

Fastjson<=1.2.47版本远程代码执行漏洞复现

Java反序列化基础篇反序列化概念与利用

实战 | 记一次从Flarum开始的RCE之旅

二次反序列化看我一命通关

Hessian 序列化、反序列化

2022HW-8.3情报整理

IVANTIAVALANCHE漏洞利用（下）

PHP反序列化漏洞学习记录

浅谈JAVA反序列化原理

『代码审计』ysoserial CommonsCollections 1 反序列化分析

在线咨询

微信