clazz - 第 2 | CN-SEC 中文网

安全工具

AntSword新增类型：JSPRAW的一些玩法

背景最近给AntSword新增了一种类型：JSPRAW，主要有以下两点改进：JSPRAW不再使用其他参数进行传参，同时支持key-value键值对以及raw传参形式新增toString触发方式，Pay...

09月23日23 views评论

阅读全文

安全文章

Fastjson各版本分析及绕过

前言我们在上一个环境中测试了fastjson1.2.24，我们现在来看一下之后fastjson很有意思的修补和绕过历史环境搭建在测试中，我们修改maven中fastjson的版本为对应的版本重新加载即...

09月13日39 views评论

阅读全文

代码审计

记录学习Java反射

本篇文章记录学习Java反射。 JAVA反射机制是在运行状态中，对于任意一个类，都能够知道这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意一个方法和属性获取Class类•根据类名：类名....

08月29日16 views评论

阅读全文

安全文章

Fastjson分析系列1.2.22-1.2.24反序列化漏洞分析

前言本文为Fastjson1.2.22-1.2.24反序列化漏洞分析。主要利用链分为基于TemplateImpl的利用链和基于JdbcRowSetImpl的利用链 TemplateImpl利用链 ...

08月18日12 views已关闭评论

阅读全文

安全文章

浅谈一次edusrc文件上传成功getshell

本文由掌控安全学院 - Tobisec 投稿 0x1 前言这里记录一下我在微信小程序挖人社局等一些人力资源和社会保障部信息中心漏洞，人社这类漏洞相对于web应用端的漏洞来讲要好挖很多，...

07月10日41 views评论

阅读全文

代码审计

FastJson与原生反序列化-影响Fastjson1 小于等于（1.2.48），Fastjson2 小于等于(2.0.26)

FastJson与原生反序列化前言这其实是我很早前遇到的一个秋招面试题，问题大概是如果你遇到一个较高版本的FastJson有什么办法能绕过AutoType么？我一开始回答的是找黑名单外的类，后面面试官...

02月28日15 views评论

阅读全文

安全文章

Apache ActiveMQ RCE 分析

中午吃饭的时候看到赛博昆仑发了 Apache ActiveMQ 的漏洞通告, 于是去翻了翻 github commit第⼀眼看感觉跟之前那个 spring-amqp 的漏洞差不多就偷个懒没复现, 后来...

02月17日27 views评论

阅读全文

安全漏洞

Apache ActiveMQ RCE

扫码领资料获网安教程免费&进群影响版本Apache ActiveMQ < 5.18.3利用条件需要访问到61616端口(默认)。漏洞分析这里需要的是Apache ActiveMQ <...

02月09日26 views评论

阅读全文

代码审计

源码分析|SpringKill的原创ysoserial源码详解

此文章由SpringKiller安全研究师傅产出，这位佬是一个能独立开发一款企业级IAST，伸手0day伸脚1day，能手搓操作系统用脚逆向的师傅，还是OWASP的代码贡献者之一。哦，差点忘了，这个师...

01月10日38 views评论

阅读全文

安全文章

Bypass RASP NativeMethodPrefix学习

背景众所周知，Java的RASP是没有办法直接Hook Native方法的，但确实有这个场景的需求。于是JDK官方出了一个java.lang.instrument.Instrumentation#se...

01月10日19 views评论

阅读全文

安全文章

【Fastjson】- Fastjson 1.2.47 反序列化漏洞

前言payload反序列化过程 mappings 和 buckets 缓存到mappings中 ...

11月24日20 views评论

阅读全文

安全文章

Apache ActiveMQ (版本 < 5.18.3) RCE 分析

10月27日73 views评论

阅读全文

在线咨询

微信