collection - 第 3 | CN-SEC 中文网

代码审计

commons-collections反序列化利用链分析（1）

1. 序列化与反序列化定义：序列化指将对象/数据结构的状态信息转换为可以存储或传输的形式的过程，其反过程称为反序列化。作用：将对象持久化到存储介质以便再次使用使对象能在网络中传输如序列化格式...

01月02日7 views评论

阅读全文

安全工具

工具集：BurpSuite-collections【burp插件合集】

BurpSuite 相关收集项目，插件主要是非BApp Store（商店）DetSql--- 快速探测可能存在SQL注入的请求并标记，提高测试效率 https://github.com/saosha...

12月06日56 views评论

阅读全文

安全文章

CVE-2017-7504 JBOSS反序列化漏洞复现

一、漏洞描述 JBoss AS 4.x及之前版本中，JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列...

12月04日24 views评论

阅读全文

代码审计

21.从Altserialization到SessionState反序列化再到SQL Server数据库隔山打牛

1.关于Altserialization（第一部分只是作为知识点的铺垫，真正有趣且笔者认为实战中能用得上的部分放在第二小节往后，不过第一部分其实也是挺ez的）下面就正式进入ysoserial.net的...

11月26日19 views评论

阅读全文

安全文章

2.ASP.NET Route型内存马

1.关于Route机制绝大部分WEB框架里都有的路由机制，在Global.asax里也可以看到一个RegisterRoutes()方法的调用，看名字就知道是注册Routes用的注意到这里使用一个Map...

11月17日25 views评论

阅读全文

代码审计

Java反序列化-CommonsCollections1链分析

什么是CC? CC全称Commons Collections，主要封装了Java的集合相关类对象，它是Java中的一个组件利用链是什么? 你可以把他看做反序列化漏洞的EXP ，利用链首先要满足三...

11月12日10 views评论

阅读全文

安全工具

web-chians:一款全新的Java Payload生成框架

简介web-chains 包含但不限于以下功能：Java 反序列化Payload生成支持的混淆：随机集合混淆、垃圾类插入、TC_RESET 填充、utf8 overlong encoding 混淆He...

11月12日118 views评论

阅读全文

代码审计

学习yso之分析CC1链<=3.2.1(JAVA反序列化必学)

前言学习反序列化就肯定少不了学习CB，CC，CK等已有的链子来帮我我们理解各大反序列化漏洞的挖掘思路，漏洞利用，这里团队的XJiu师傅就带兄弟们先学习一下CC1这个经典链，它适用的依赖版本经常出现在框...

11月11日10 views评论

阅读全文

代码审计

学习yso之分析CC6链<=3.2.1(续)

概述jdk8u71之后，CC1链就不能⽤了，在ysoserial⾥，CC6链算是⽐较通⽤的利⽤链了，主要就是⾼版本兼容下面就简单的跟进一下CC6这条利用链，如有不对的地方，请指教。LazyMapcom...

11月11日11 views评论

阅读全文

代码审计

CC1链的分析与复现

CC1链的分析与复现前言Apache Commons Collections是一个第三方的基础类库，提供了很多强有力的数据结构类型并且实现了各种集合工具类，可以说是apache开源项目的重要组件。在J...

11月07日23 views评论

阅读全文

安全文章

Java Payload生成与利用平台

亲爱的读者，我们诚挚地提醒您，黑熊安全公众号的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失，均由使用者自行承担责任。黑熊安全团队及作者对此概不负责。如有...

11月06日40 views评论

阅读全文

安全文章

Java反序列化cc1链

Java反序列化CommonsCollections-CC1链你们好，我是Drift，今天我们来分析一下Java反序列化中大名鼎鼎的cc1链，前期的环境配置可以参考我本文末的链接，我们着重一下分析过程...

11月01日10 views评论

阅读全文

commons-collections反序列化利用链分析（1）

工具集：BurpSuite-collections【burp插件合集】

CVE-2017-7504 JBOSS反序列化漏洞复现

21.从Altserialization到SessionState反序列化再到SQL Server数据库隔山打牛

2.ASP.NET Route型内存马

Java反序列化-CommonsCollections1链分析

web-chians:一款全新的Java Payload生成框架

学习yso之分析CC1链<=3.2.1(JAVA反序列化必学)

学习yso之分析CC6链<=3.2.1(续)

CC1链的分析与复现

Java Payload生成与利用平台

Java反序列化cc1链

在线咨询

微信