collection - 第 4 | CN-SEC 中文网

代码审计

Java安全-CC6反序列化

漏洞介绍使用了3.2.1版本的Commons Collections从mvnrepository上搜索发现该版本已被提示存在两个风险点进去看到关联到两个CVE（CVE-2015-7501、CVE-20...

07月15日18 views评论

阅读全文

代码审计

反序列化学习之路-Apache Commons Collections（CC1）补充-LazyMap路线

1.介绍Apache Commons工具包中有⼀个组件叫做 Apache Commons Collections ，其封装了Java 的 Collection(集合) 相关类对象，它提供了很多强有⼒的...

07月15日18 views评论

阅读全文

安全漏洞

CVE-2024-32030 Apache Kafka UI 远程代码执行漏洞分析

1前言CVE-2024-32030漏洞修复的文件变更中,将commons-collections从kafka-json-schema-serializer依赖中剔除,更改为 commons-colle...

07月14日319 views评论

阅读全文

安全漏洞

漏洞预警 | Kafka UI < 0.7.2 反序列化漏洞

一、漏洞概述Kafka UI 是用于 Apache Kafka 的开源 Web UI。在受影响版本中，Kafka UI 通过连接到 Kafka 代理的 JMX 端口来监控其性能，攻击者可以利用该功能将...

06月26日23 views评论

阅读全文

代码审计

反序列化学习之路-CC5

前言在我们分析前几条链后，对于CC已经很熟悉了，CC5链和CC1差不多，只不过调用LazyMap.get()是通过TiedMapEntry.toString()触发1.环境安装我们可以接着使用之前已经...

06月25日87 views评论

阅读全文

代码审计

反序列化学习之路-CC2

前言3.1-3.2.1版本中TransformingComparator并没有去实现Serializable接口，是不可以被序列化的，所以我们重新搭建一个4.0的具有漏洞的CC环境CC2链主要过程和C...

06月17日8 views评论

阅读全文

代码审计

反序列化学习之路-Apache Commons Collections（CC4）

前言因为 CommonsCollections4 除 4.0 的其他版本去掉了 InvokerTransformer 继承 Serializable，导致该方法无法序列化。同时 CommonsColl...

06月15日15 views评论

阅读全文

安全漏洞

通过weblogic历史漏洞cve-2015-4852学习java反序列化漏洞

‍声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，禁止私自转载，如需转载，请联系作者！！！！请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后...

06月13日35 views评论

阅读全文

安全工具

Shiro反序列化漏洞综合利用工具增强版

项目介绍在每年HW期间，外网打点都少不了Shiro漏洞的身影，本工具主要支持对Shiro反序列化漏洞综合利用，包含(回显执行命令/注入内存马)修复原版中NoCC的问题项目特点 javafx 处理没...

06月08日122 views评论

阅读全文

安全漏洞

CVE-2023-50386 | Apache Solr

免责声明：本文所涉及的信息安全技术知识仅供参考和学习之用，并不构成任何明示或暗示的保证。读者在使用本文提供的信息时，应自行判断其适用性，并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做...

06月07日34 views评论

阅读全文

安全漏洞

NextGen Mirth Connect XStream CVE-2023-43208 反序列化漏洞【附poc】

fofa title="Mirth Connect Administrator" 一、漏洞简述 Mirth Connect 是一个由医疗企业广为使用的开源数据一体化平台，允许不同系统以标...

05月31日156 views评论

阅读全文

代码审计

反序列化学习之路-Apache Commons Collections（CC6）

前言我们前两篇已经分析过URLDNS链和CC1链，我们这次分析的链就是基于前两条链之上的CC6链CC6链的使用对于版本来说没有CC1限制那么大，只需要commons collections 小于等于3...

05月30日28 views评论

阅读全文

Java安全-CC6反序列化

反序列化学习之路-Apache Commons Collections（CC1）补充-LazyMap路线

CVE-2024-32030 Apache Kafka UI 远程代码执行漏洞分析

漏洞预警 | Kafka UI < 0.7.2 反序列化漏洞

反序列化学习之路-CC5

反序列化学习之路-CC2

反序列化学习之路-Apache Commons Collections（CC4）

通过weblogic历史漏洞cve-2015-4852学习java反序列化漏洞

Shiro反序列化漏洞综合利用工具增强版

CVE-2023-50386 | Apache Solr

NextGen Mirth Connect XStream CVE-2023-43208 反序列化漏洞【附poc】

反序列化学习之路-Apache Commons Collections（CC6）

在线咨询

微信