序列化 - 第 15 | CN-SEC 中文网

程序逆向

一次.net cpu爆高分析-windbg sos基本命令使用及分析思路

前几日接前方反馈，线上升级后，IIS CPU爆高，已影响用户使用体验，遂指导现场运维赶紧dump一份内存。笔者现将分析过程分享如下，欢迎讨论指教。windbg sos使用就不写了，网上已有大量教程。运...

04月10日28 views评论

阅读全文

安全开发

POC&EXP编写—常用模块

0.前言由于都是发自己的文章，所以也不会有那么多的内容发布，一周可能也就更新个两篇，如果工作忙，可能一周就一篇，但是文章都会很细致，暂时只更新学习笔记，至于挖洞思路，小菜鸟还不配。0.1.免责声明传播...

04月10日25 views评论

阅读全文

代码审计

Python Pickle命令执行漏洞原理

简介Python的序列化/反序列化模块有两个，一个是Pickle、一个是cPickle，pickle 实现了对一个 Python 对象结构的二进制序列化和反序列化。 “Pickling” 是将 Pyt...

04月04日34 views评论

阅读全文

Please don't stop rua 233333

原题网址 <?phpclass Time{ public $flag = xxxxx; public $truepassword = xxxxx; public $time; public $p...

04月03日安全博客10 views评论

阅读全文

安全漏洞

CVE-2024-2054php反序列化

感谢师傅 · 关注我们由于，微信公众号推送机制改变，现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗！啾咪~~~作者:皮卡丘首先我们要了解序列化PHP序列化是将PHP变量转换为可存储的...

03月26日62 views评论

阅读全文

代码审计

Python反序列化漏洞(入门)

python反序列化漏洞前置知识漏洞原理代码中进行了反序列化操作，反序列化魔术方法可以被触发，且反序列化的参数可控函数使用：pickle.dump(obj, file) : 将对象序列化后保存到文件p...

03月24日23 views评论

阅读全文

代码审计

java反序列化漏洞(入门)

java序列化和反序列化的概念：序列化：把Java对象转换为字节流的过程。反序列化：把字节流恢复为Java对象的过程。对象的序列化主要有两种用途：把对象的字节序列永久地保存到硬盘上，通常存放在一个文件...

03月23日34 views评论

阅读全文

安全闲碎

Java 脏数据填充探索

前言有师傅提出了 Yso JavaHack 的生成序列化payload需要填充脏数据的需求，由于yak引擎没有java环境，所以不能直接对gadget封装，只能对数据化流操作，记录下分析过程。什么是脏...

03月22日16 views评论

阅读全文

代码审计

PHP反序列化漏洞(入门1)

漏洞产生原理没有对用户输入的序列化字符串做检测，导致攻击者可以控制反序列化过程。序列化（serialize()）//将一个对象转换成一个字符串反序列化（unserialize()）//将字符串还原成一...

03月22日32 views评论

阅读全文

代码审计

【安全科普】Python之pickle反序列漏洞

网安教育培养网络安全人才技术交流、学习咨询0x00 Python对象序列化库 pickle简介与其他语言相同，python也有序列化/反序列化的方式python序列化主要有pickle、marshal...

03月07日54 views评论

阅读全文

代码审计

SolarWinds Security Event Manager AMF 反序列化 RCE (CVE-2024-0692)

前言前几天刷推看到 ZDI 发了 SolarWinds Security Event Manager AMF 反序列化 RCE 的通告, 于是准备简单分析一下 https://www.zeroday...

03月06日63 views评论

阅读全文

供应链安全

AI供应链安全：Hugging Face 恶意ML模型事件分析

01 Hugging Face供应链攻击事件分析事件背景近期由JFrog安全团队监控发现，Hugging Face平台上的某些机器学习模型可能被用于对用户环境进行攻击。这些恶意的模型在加载时会导致代码...

03月05日151 views评论

阅读全文

在线咨询

微信