扫一扫关注公众号,长期致力于安全研究前言:在分析其漏洞之前,应先对该应用有个基本的了解和使用。本文是笔者之前从网上搜到的资料..来自于Y4师傅0x01 简介Fastjson是Alibaba开...
10月18日64 views评论com
反序列化
Fastjson基本用法
10月18日64 views评论com
反序列化
10月18日64 views评论com
反序列化
DotNet安全-ViewState反序列化利用
ViewState 反序列化一、引言这周有朋友问碰巧自己也没听说过,问了身边的朋友,大概两三年前就出现了,exchange 的 CVE-2020-0688 也是因为 viewstate 的反序列化,成...
10月18日220 views评论反序列化
序列化
PHP反序列化漏洞入门
零基础黑客教程,黑客圈新闻,安全面试经验尽在 # 暗网黑客教程 #一序列化和反序列化的概念序列化就是将一个对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名。反序列化则相反将字符...
10月15日33 views评论ctf
反序列化
初探Hessian利用链为Dubbo-CVE占坑
介绍Hessian 是 caucho公司的工程项目,为了达到或超过 ORMI/Java JNI 等其他跨语言/平台调用的能力设计而出,在 2004 点发布 1.0 规范,一般称之为 Hessian ,...
10月10日56 views评论servlet
序列化
java序列化之反射
JAVA安全|Gadget篇:URLDNS链
0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识,构建自己的java知识体系,并实际地将java用起来,达到熟练掌握ja...
10月01日132 views评论java
反序列化
C3P0反序列化链浅析
C3P0反序列化链浅析0x0 前言 关于C3P0反序列化链也许被很多人忽视了,网上与此相关的分析相对而言也较少,给人一种第一眼鸡肋的感觉,但是笔者有过切身经历,通过Fuzz的手段利用这个链打成功了某...
10月01日34 views评论反序列化
序列化
【干货】Fastjson反序列化漏洞原理分析
戟星安全实验室 忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等本文约2915字...
10月01日1,344 views评论反序列化
序列化
JBoss Remoting Connector 4446端口反序列化分析
今年4月份爆出JBoss EAP/AS <=6.版本的4446*端口存在反序列化rRCE漏洞,本文对该漏洞进行复现并做了以下分析。 0x01 漏洞分析 测试版本:jboss-6.1.0.Fina...
10月01日73 views评论反序列化
序列化
Dubbo反序列化漏洞分析集合2
前言 这篇是对上一篇进行了补充,添加了两个Hessian协议的分析和Kryo<5.0.0的利用和MRCTF中的Kryo>5.0.0特定场景利用 环境搭建 同样是使用上篇文章的环境 给个传送...
09月25日88 views评论security
序列化
网安宝典之Hessian 反序列化漏洞学习
网安教育培养网络安全人才技术交流、学习咨询环境搭建关于 RPC:1Remote Procedure Call Protocol,远程过程调用协议,和 RMI(R...
09月15日64 views评论反序列化漏洞
序列化
九维团队-绿队(改进)| shiro反序列化漏洞源码分析
shiro介绍Apache Shiro是企业常见的JAVA安全框架,执行身份验证、授权、密码和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。sh...
09月15日78 views评论反序列化
序列化
64