序列化 - 第 48 | CN-SEC 中文网

安全文章

一道shiro反序列化转型引发的思考

前言这是某银行的内部的一个CTF比赛，受邀参加。题目三个关键词权限绕过、 shiro、反序列化，题目源码已经被修改，但考察本质没有，题目源码会上传到JavaLearnVulnerabili...

04月24日115 views评论

阅读全文

安全文章

Laravel Debug mode RCE（CVE-2021-3129）漏洞复现

前言搭建测试环境利用VulHub上已有的镜像环境（推荐）利用GitHub上已有的镜像环境手动搭建环境（可能会出问题，建议用前两种方法）漏洞分析漏洞检测Phar反序列化利用laravel.log实现ph...

04月24日255 views评论

阅读全文

安全文章

学习调试 JAVA 反序列化漏洞入门案例

本文作者：Z1NG（信安之路核心成员）本文以 Commons Collections5 利用链进行学习，进而分析近期公开的 CVE-2020-2555。作为学习调试 JAVA 反序列化漏洞入门的第一步...

04月24日32 views评论

阅读全文

安全漏洞

漏洞预警| jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)

近日，FasterXML官方发布安全通告，披露jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)，同时公开感谢中睿天下iLab创新实验室发现并报告漏洞。据了解，...

04月24日107 views评论

阅读全文

安全文章

Yii2 反序列化漏洞(CVE-2020-15148)复现

漏洞概述Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞，程序在调用unserialize 时，攻击者可通过构造特定的恶意请求执行任意...

04月24日372 views评论

阅读全文

安全文章

视频 | 从零开始weblogic的反序列化漏洞

本文作者：TtssGkf（Ms08067实验室 SRSP TEAM小组成员） DEFCON GROUP 86021是受全球性黑客大会DEFCON授权的官方...

04月24日56 views评论

阅读全文

安全文章

反序列化的深入探讨

序列化概念序列化就是将一个对象转换成字符串,字符串包括该对象对应的类名,属性个数、属性名、属性值、属性名、值的类型和长度。反序列化则是将字符串重新恢复成对象,在反序列化一个对象前,这个对象的类必须在解...

04月23日54 views评论

阅读全文

安全文章

剖析xmlDecoder反序列化

这是酒仙桥六号部队的第 130 篇文章。全文共计1727个字，预计阅读时长6分钟。一直想写个代码审计的文章，和大腿们交流下思路，正好翻xxe的时候看到一个j...

04月23日40 views评论

阅读全文

代码审计

Yii2 反序列化漏洞复现分析

1、漏洞描述Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞，程序在调用unserialize() 时，攻击者可通过构造特定的恶意请求...

04月22日135 views评论

阅读全文

安全文章

XStream 反序列化漏洞复现（CVE-2020-26258/CVE-2020-26259）

漏洞描述XStream是一个常用的Java对象和XML相互转换的工具。近日，XStream官方发布了新版的XStream 1.4.15，并修复了两个CVE漏洞，分别是CVE-2020-26258和CV...

04月22日124 views评论

阅读全文

代码审计

SnakeYaml 反序列化的一个小 trick

背景这是我在做某个代码审计项目时遇到的场景，一个 yaml 解析的功能使用了 snakeyaml 来处理 yaml，snakeyaml 一般情况下是可以直接进行反序列化攻击的。但这里它做了一个前提条件...

04月21日237 views评论

阅读全文

安全文章

Weblogic T3 反序列化简单复现

简介hvv期间公开的漏洞，漏洞利用利用链和Jdk7u21差不多，简单记录一下。漏洞分析通过解析poc中的序列化内容，发现这次使用的是java.rmi.MarshalledObject来绕过黑名单。ja...

04月21日216 views评论

阅读全文

一道shiro反序列化转型引发的思考

Laravel Debug mode RCE（CVE-2021-3129）漏洞复现

学习调试 JAVA 反序列化漏洞入门案例

漏洞预警| jackson-databind反序列化远程代码执行漏洞(CVE- 2020-36183)

Yii2 反序列化漏洞(CVE-2020-15148)复现

视频 | 从零开始weblogic的反序列化漏洞

反序列化的深入探讨

剖析xmlDecoder反序列化

Yii2 反序列化漏洞复现分析

XStream 反序列化漏洞复现（CVE-2020-26258/CVE-2020-26259）

SnakeYaml 反序列化的一个小 trick

Weblogic T3 反序列化简单复现

在线咨询

微信