binaryformatter | CN-SEC 中文网

安全新闻

Sitecore 曝零日漏洞，可远程命令执行

介绍近日披露的 Sitecore 体验平台关键漏洞（CVE-2025-27218）允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。该漏洞源于不安全的数据反序列化操作，影响 Sitecore 体...

03月10日19 views评论

阅读全文

安全新闻

Sitecore 曝零日漏洞，可执行任意代码攻击

近日披露的 Sitecore 体验平台关键漏洞（CVE-2025-27218）允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。该漏洞源于不安全的数据反序列化操作，影响Sitecore 体验管理...

03月09日29 views评论

阅读全文

代码审计

24.学习ysoserial.net的plugins第三弹

（.NET反序列化今年没有多少篇啦，除开这篇后续的都挺有活的）1.SessionSecurityTokenHandler还是先来看一下这个的安全问题，在其ReadToken()方法中可以看到一个非常明...

12月09日16 views评论

阅读全文

代码审计

18.补充以前没学到的链子以及BinaryFormatter序列化数据特征

1.ClaimsPrincipal也即这条链子问题出在这个OnDeserializedMethod方法，有[OnDeserialized]特性，反序列化过程中会触发这里把m_serializedCla...

11月05日26 views评论

阅读全文

代码审计

2.BinaryFormatter反序列化点+几个链子

1.关于BinaryFormatter其实非要说的话，BinaryFormatter才是.NET里最经典的序列化与反序列化相关类，从名字就可以看出来，这玩意大概是用来把对象序列化成二进制数据或者把二进...

10月16日11 views评论

阅读全文

代码审计

4.LosFormatter反序列化点+一些反序列化链

1.LosFormatter使用以及分析还是先来看看LosFormatter的简单使用吧，这里也用Y4er师傅的demo来学习一下先先写一个可以序列化与反序列化的类，其中有name和age两个属性，一...

10月13日22 views评论

阅读全文

安全文章

visualstudio 一键 RCE

技术原理在打开一个项目后，VisualStudio会在项目的根目录中自动生成一个.vs文件夹，其中包含一个名为.soo的特殊二进制文件。当环境打开.soo文件时，它会枚举当前加载的所有VSPackag...

10月31日52 views评论

阅读全文

安全文章

DotNet安全-CVE-2021-42321漏洞复现

DotNet安全-CVE-2021-42321漏洞复现引言该漏洞主要是由于开发者使用SerializationBinder后的逻辑判断有问题，同时配合exchange不那么严格的反序列化黑名单，造成了...

10月09日477 views评论

阅读全文

先知文章

.net反序列化之BinaryFormatter - Y4er

BinaryFormatter BinaryFormatter将对象序列化为二进制流，命名空间位于System.Runtime.Serialization.Formatters.Binary。微软文档...

12月31日84 views评论

阅读全文

Sitecore 曝零日漏洞，可远程命令执行

Sitecore 曝零日漏洞，可执行任意代码攻击

24.学习ysoserial.net的plugins第三弹

18.补充以前没学到的链子以及BinaryFormatter序列化数据特征

2.BinaryFormatter反序列化点+几个链子

4.LosFormatter反序列化点+一些反序列化链

visualstudio 一键 RCE

DotNet安全-CVE-2021-42321漏洞复现

.net反序列化之BinaryFormatter - Y4er

在线咨询

微信