collection - 第 6 | CN-SEC 中文网

安全漏洞

【漏洞通告】Apache Solr Backup/Restore APIs 远程命令执行漏洞

01 漏洞概况 Apache Solr在创建Collection时会以一个特定的目录作为classpath，从中加载一些类，而Collection的备份功能可以导出攻击者上传的恶意class...

02月28日39 views评论

阅读全文

代码审计

Shiro反序列化相关

原理获取Cookie中rememberMe的值 · 对rememberMe进行Base64解码 · 使用AES进行解密 · 对解密的值进行反序列化这样的话攻击者就可以通...

02月18日30 views评论

阅读全文

安全漏洞

用友NC FileUploadServlet 反序列化rce漏洞

漏洞简介用友NC uploadservlet 存在反序列化rce漏洞。漏洞复现步骤一：在Fofa中搜索以下语法并随机确定要进行攻击测试的目标....#Fofa搜索语法app="用友-UFIDA-NC"...

01月31日308 views评论

阅读全文

安全工具

一键收集控股公司ICP备案、APP、小程序、微信公众号等信息

项目地址：https://github.com/wgpsec/ENScan_GO功能列表使用程序可能导致账号被封，仅用于信息收集用途，请勿用于非法用途若该程序影响或侵犯到您的权益，请与我们联系使用支持...

01月24日40 views评论

阅读全文

安全文章

JAVA RMI 反序列化流程原理分析

扫码领资料获网安教程这篇文章主要用于学习 RMI 的反序列化利用的流程原理，在网上搜了一大堆的 RMI 利用资料，大多仅仅是讲的利用方法，没有找到到底为啥能这么用，即使有些涉及到一些原理的文章，也写得...

12月28日45 views评论

阅读全文

安全博客

CommonsCollections 反序列化分析

CommonsCollections 反序列化分析, 鸽了好久了基本知识Apache Commons Collections 可以看成是 jdk Collection 类的扩展, 它对常用的数据结构...

12月15日13 views评论

阅读全文

代码审计

Java代码审计-CommonsCollections6链分析

0x00 前言接着CommonsCollections1的问题来分析CommonsCollections6的过程，本来cc6应该作为cc2来称呼的，因为差别就在于JDK的版本,可能是作者按照了时间的...

12月14日21 views评论

阅读全文

代码审计

Shiro 550 CC链利用踩坑记录

Shrio下的CC链利用Shiro 550反序列化漏洞分析https://goodapple.top/archives/139Java反序列化漏洞——Shiro550 - 枫のBlog (goodap...

11月03日37 views评论

阅读全文

安全文章

【Tips+1】从JBoss反序列化到GetShell

Tips +1 通过信息收集发现存在Jboss，访问http://xxxx/invoker/readonly若显示状态码为500的报错界⾯，则证明漏洞是存在的使用工具利用漏洞：:http://sca...

11月03日65 views评论

阅读全文

安全文章

某报表系统黑名单绕过分析-附POC

免责声明：本公众号致力于安全研究和红队攻防技术分享等内容，本文中所有涉及的内容均不针对任何厂商或个人，同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失，均由使用者本人承担...

09月21日298 views评论

阅读全文

代码审计

JAVA反序列化-CC1链分析

一、组件介绍ApacheCommons当中有⼀个组件叫做ApacheCommonsCollections，主要封装了Java的Collection(集合)相关类对象，它提供了很多强有⼒的数据结构类型并...

09月13日36 views评论

阅读全文

安全开发

Java序列化和反序列化

Java反序列化序列化：把对象转换为字节序列的过程。反序列化：把字节序列恢复为对象的过程。JDK类库中的序列化APIjava.io.ObjectOutputStream代表对象输出流，它的writeO...

09月04日24 views评论

阅读全文

在线咨询

微信