本文始发于微信公众号():漏洞复现:CVE-2016-4437 Apache Shiro 反序列化
04月15日安全文章50 views评论cve
序列化
某C 1day 反序列化漏洞的武器级利用
虽然打厚码,但是好兄弟们依旧知道我在说什么。这个java cms的反序列化点极多,而且报文中没有多少特征。至于这个是不是你们说的0day/1day,我就不清楚了,好兄弟们自行分辨。 首先从任意文件上传...
04月08日199 views评论序列化
漏洞
PHP的反序列化POP链利用研究
0x01 基本概念POP:Property-Oriented Programming 面向属性编程POP链:通过多个属性/对象之前的调用关系形成的一个可利用链(如有错误请指正)PHP魔法函数...
04月08日54 views评论php
序列化
Xstream反序列化远程代码执行漏洞深入分析
0x00 前言Xstream是java中一个使用比较广泛的XML序列化组件,本文以近期Xstream爆出的几个高危RCE漏洞为案例,对Xstream进行分析,同时对POC的构成原理进行讲解0...
04月03日62 views评论xml
序列化
PHP源码中unserialize函数引发的漏洞分析
0x01 unserialize函数的概念 首先看下官方给出的解释:unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可为 integer、f...
04月03日46 views评论php
序列化
PHP string序列化与反序列化语法解析不一致带来的安全隐患
PHP string序列化与反序列化语法解析不一致带来的安全隐患 原文地址:http://www.80vul.com/pch/pch-010.txt author: ryat#www.wolvez.o...
04月03日lcx79 views评论patch
序列化
Python Pickle反序列化带来的安全问题
Author: wofeiwo#80sec.com 数据序列化,这是个很常见的应用场景,通常被广泛应用在数据结构网络传输,session存储,cache存储,或者配置文件上传,参数接收等接口处。主要作...
04月03日lcx30 views评论xml
序列化
Weblogic t3反序列化漏洞(CVE-2019-2890)分析
0x01 漏洞背景 在WebLogic官方发布的10月份安全补丁中,包含了由Venustech ADLab提交的CVE-2019-2890的修复。该漏洞通过T3协议发送恶意的反序列化数据绕过了Webl...
04月02日403 views评论序列化
漏洞
PHP反序列化之字符逃逸入门笔记
放在最前面: 这是我拿来复习用的。您要是想学的话,请从 基础知识和一些特性 那里开始看起。 字符数变多的套路 解释 增多:。我们输入的时候少,加工后他会变多。 那么我们就在输入的时候再加上构造的。然后...
03月31日代码审计254 views评论字符
序列化
Java反序列化之ysoserial URLDNS模块分析
这是 酒仙桥六号部队 的第 109 篇文章。全文共计6979个字,预计阅读时长20分钟。前言Java反序列化漏洞 利用时,总会使用到ysoserial这款工具,安服仔用了...
03月29日194 views评论java
序列化
深入 .NET ViewState 反序列化及其利用
前言嗨,大家好:欢迎访问这个有关.NET ViewState反序列化的新博客文章。我想感谢 Subodh Pandey 为这篇博客文章和这项研究做出的贡献,没有他(和他的研究),我就无法深入了解这个主...
03月28日346 views评论序列化
页面
【GoCN酷Go推荐】protobuf生成Go代码插件gogo/protobuf
从 JSON 开始谈到序列化,大家最先想到的可能是 JSON 或者 XML,这两种序列化协议都是基于文本的编码方式进行数据传输。类似的还有 YAML 等。JSON 拥有许多优点,使之成为最广泛使用的序...
03月27日安全开发79 views评论go
序列化
64