反序列化 - 第 82 | CN-SEC 中文网

安全文章

记一次高版本下远程RMI反序列化利用分析

微信又改版了，为了我们能一直相见你的加星和在看对我们非常重要点击“长亭安全课堂”——主页右上角——设为星标🌟期待与你的每次见面～背景最近在一个项目的内网环境中遇到多个开着 RMI 端口的目标，按照之前...

01月19日420 views评论

阅读全文

安全漏洞

【CVE-2021-43297】Apache Dubbo Hessian2 异常处理时反序列化

作者：Longofo@知道创宇404实验室日期：2022年1月18日上周看到Apache官方又发布了一个Apache Dubbo Hessian2的漏洞（https://lists.apache.or...

01月19日307 views评论

阅读全文

安全文章

【技术分享】忆——Weblogic CVE-2016-0638反序列化漏洞

开始着手对Weblogic历史漏洞进行剖析，周末分析了Weblogic历史上的严重漏洞，一次针对CVE-2015-4852漏洞的补丁绕过。原理虽然简单，但是时间太过久远，一些关键点被历史的...

01月18日186 views评论

阅读全文

代码审计

Java代码审计：反序列化

1 反序列化漏洞反序列漏洞，当输入的反序列化的数据可被用户控制，那么攻击者即可通过构造恶意输入，让反序列化产生非预期的对象，在此过程中执行构造的任意代码...

01月16日189 views评论

阅读全文

HW&HVV

2020HW红方利用漏洞总结（截止9.19）

来源：Khan安全团队VMware Fusion cve-2020-3980权限提升Apache Cocoon security vulnerability cve-2020-11991Spring框...

01月12日317 views评论

阅读全文

代码审计

【技术分享】如何高效地捡漏反序列化利用链？

前言之前在文章如何高效地挖掘Java反序列化利用链中提到了我是如何高效挖掘利用链的，这其中提到了工具tabby。目前，tabby开源也有一段时间了，这段时间里有不少小伙伴问我如何在实际环境中更好地使用...

01月06日163 views评论

阅读全文

安全文章

JBOSS反序列化漏洞

10月13日简简单单的复现一个漏洞0x00 起因因为当初说要把vulhub上面的漏洞都复现一遍，然后今天看内网的书又头疼，python也学不下去，打开vulhub，然后随便一滚鼠标滑轮，刚...

01月06日186 views评论

阅读全文

安全开发

说说JAVA反序列化

JAVA 是我国开发者广泛使用的开发语言，在金融行业使用尤为突出。实战中，利用 Java 反序列化实现远程命令执行的案例增长趋势明显，同时，WebLogic、 WebSph...

01月02日171 views评论

阅读全文

安全文章

Joomla 3.0-3.4.6-rce复现

00x00 前言Joomla是一套内容管理系统，由PHP加Mysql数据库所开发的系统。该漏洞本质上这是一个Session反序列化导致的RCE漏洞，由于Joomla对于Session的特殊处...

01月02日101 views评论

阅读全文

安全文章

CVE-2020-2551漏洞分析与检测

weblogic调试环境搭建下载weblogic10.3.6的安装包，后台回复weblogic即可获取安装包下载链接（百度云盘)。注意，不需要安装jdk，安装包中自带一个jdk1.6windows下点...

12月29日1,221 views评论

阅读全文

安全文章

技术文章 | 反序列化Payload生成框架（一）

起因在某次测试的过程中，Burp插件扫描到了站点存在Shiro 默认Key，也可以触发DNS。但是尝试执行命令却总是失败，当时推测是因为依赖缺失导致的。由于ysoserial默认的CommonsBe...

12月27日664 views评论

阅读全文

安全文章

干货｜最全的Jboss漏洞复现

简介JBoss是一个基于J2EE的开放源代码应用服务器，代码遵循LGPL许可，可以在任何商业应用中免费使用；JBoss也是一个管理EJB的容器和服务器，支持EJB 1.1、EJB 2.0和EJB3规范...

12月23日341 views评论

阅读全文

在线咨询

微信