auto | CN-SEC 中文网

安全文章

fastjson <=1.2.47 c3p0 利用

经常有学员问到fastjson c3p0 怎么利用在 fastjson 漏洞利用中，c3p0 依赖通常用于 AutoType 相关的反序列化攻击。例如，攻击者可以利用 fastjson 解析 JSO...

6小时前6 views评论

阅读全文

安全工具

Upload_Auto_Fuzz - Burp Suite 文件上传漏洞Fuzz插件

0x01 工具介绍本Burp Suite插件专为文件上传漏洞检测设计，提供自动化Fuzz测试，共300+条payload。注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全Hack...

03月05日29 views评论

阅读全文

杀软静态对抗-去除敏感整数

PE文件中，一些固定的整数也可能是一种静态特征，比如比较特定的整数大小，API hash的值等等。我们也可以使用类似字符串的加解密方法，来实现编译时加密整数，运行时解密。下面是一个GitHub上不错的...

03月03日程序逆向1 views评论

阅读全文

安全工具

工具 | Auto-SSRF

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。0x00 简介Auto-SSRF是一款基于BurpSuite MontoyaApi...

03月03日12 views评论

阅读全文

安全新闻

新型Linux恶意软件Auto-Color曝光，赋予黑客完全远程访问权限

Palo Alto Networks Unit 42发现了一种名为“Auto-Color”的新型Linux恶意软件，该软件在2024年11月至12月期间针对北美和亚洲的大学和政府组织发动攻击，赋予攻击...

03月03日13 views评论

阅读全文

安全新闻

新型Linux恶意软件Auto-Color允许黑客彻底远程控制受感染系统

根据Palo Alto Networks Unit 42的最新发现，北美洲和亚洲的大学及政府机构在2024年11月至12月期间遭受了一种名为Auto-Color的Linux系统恶意软件攻击。“一旦安装...

02月28日9 views评论

阅读全文

信息情报

美国FBI新任局长遭黑客威胁，LockBit号称手握机密信息

2月28日，星期五，您好！中科汇能与您分享信息安全快讯：01美国FBI新任局长遭黑客威胁，LockBit号称手握"机密"信息近日，勒索软件团伙LockBit在其暗网泄露网站上发布一条奇怪的消息，声称拥...

02月28日12 views评论

阅读全文

安全文章

Fastjson-CNVD-2017-02833漏洞复现

0x01 漏洞介绍Fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。...

02月24日10 views评论

阅读全文

程序逆向

逆向角度看C++部分特性

本文为看雪论坛优秀‍‍‍文章看雪论坛作者ID：唱过阡陌单/多继承单继承测试源码：#define MAIN __attribute__((constructor))#define NOINLINE __...

02月21日8 views评论

阅读全文

安全职场

原来想去网安大厂，反序列化是跑不了的，被技术面麻了

最近一个星球中的小伙伴想我诉苦，说他面试的时候面试官尽然一只在问他反序列化相关的问题，他尽然emo了，今天特意的整理了下网络安全中常见的反序列化相关的面试题，需要的抓紧收藏。网络安面试题库截止目前已...

02月18日18 views评论

阅读全文

Fastjson autoType 绕过漏洞

1. 通告信息近日，安识科技A-Team团队监测到一则 Fastjson 组件存在autoType 默认关闭限制被绕过的漏洞信息，漏洞威胁等级：高危。该漏洞需要存在特定依赖才可能利用成功。对此，安识科...

02月13日安全漏洞22 views评论

阅读全文

安全文章

RASP | FastJson反序列化漏洞回顾

与原生的Java反序列化的区别在于，FastJson反序列化并未使用ObjectInputStream.readObject()方法，而是由FastJson自定一套反序列化的过程。通过在反序列...

02月13日14 views评论

阅读全文

fastjson <=1.2.47 c3p0 利用

Upload_Auto_Fuzz - Burp Suite 文件上传漏洞Fuzz插件

杀软静态对抗-去除敏感整数

工具 | Auto-SSRF

新型Linux恶意软件Auto-Color曝光，赋予黑客完全远程访问权限

新型Linux恶意软件Auto-Color允许黑客彻底远程控制受感染系统

美国FBI新任局长遭黑客威胁，LockBit号称手握机密信息

Fastjson-CNVD-2017-02833漏洞复现

逆向角度看C++部分特性

原来想去网安大厂，反序列化是跑不了的，被技术面麻了

Fastjson autoType 绕过漏洞

RASP | FastJson反序列化漏洞回顾

在线咨询

微信