collection - 第 8 | CN-SEC 中文网

代码审计

CC链1-TransformedMap链学习

原创文章web安全渗透技术原创声明：转载本文请标注出处和作者，望尊重作者劳动成果！感谢！前言：公众号回复“20230223”，获取原格式PDF文章和相关工具。一、环境准备 1、创...

02月23日31 views评论

阅读全文

安全工具

一款OutLook信息收集工具

0x01 前言这是一款burp插件，用于Outlook用户信息收集，在已登录Outlook账号后，可以使用该插件自动爬取所有联系人的信息 0x02 安装在burp扩展面板加载jar即可 0x03...

02月17日51 views评论

阅读全文

代码审计

JAVA安全|Gadget篇：CC2 CC4链—Commons-Collections4.0下的特有链

0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识，构建自己的java知识体系，并实际地将java用起来，达到熟练掌握ja...

02月07日161 views评论

阅读全文

Java 反序列化取经路

Java 反序列化相关学习笔记、研究内容目录，持续更新ing... （注：其实这种调用链非常复杂的漏洞调试文章，写出来基本没什么用，写的都是谁调用了谁，怎么想办法让这个 if else 走到这个调用点...

01月01日安全博客44 views评论

阅读全文

代码审计

CommonsCollections-CC1链分析

Collection在Java的集合中，主要有两种类型的容器，一种是集合Collection，用来存储单个元素，一种是图Map，用来存储键值对。像常用的ArrayList就是Collection接口的...

12月22日99 views评论

阅读全文

代码审计

Java审计之反序列化挖掘

前置知识首页你要了解什么是反序列化，需要用到哪些函数如下图java反射机制在反序列化中，反射必不可少让java具有动态性修改已有对象的属性动态生成对象动态调用方法操作内部类和私有方法在反序列化中定制需...

11月25日74 views评论

阅读全文

安全文章

笔记-蓝队分析

分析免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.分析工具相关工具fireeye/capaYaraYARA 是一款旨在帮助恶意软件研究人员...

10月30日83 views评论

阅读全文

安全工具

FOFA-IP采集工具

FofaCollection：一个基于FoFa Api 的PY脚本，用于收集url，简单操作解决你的困难环境和使用版本：Python 3.+这里需要安装requests库pip install req...

10月29日144 views评论

阅读全文

安全文章

Django SQL注入漏洞（CVE-2021-35042）快速复现

前言：Django在2021年7月1日发布了一个安全更新，修复了在QuerySet底下的order_by函数中存在的SQL注入漏洞。正文：这里使用vulhub，不会的可以参考前文，选择目录然后启动：使...

10月29日67 views评论

阅读全文

安全工具

【神兵利器】两款Shiro反序列化漏洞利用Tools（附下载）

shiro反序列化漏洞综合利用 v2.2下载地址https://github.com/j1anFen/shiro_attack填坑,修bug。基于javafx,利用shiro反序列化漏洞进行回显命令执...

10月05日108 views评论

阅读全文

安全文章

【MongoDB】利用未授权访问和任意文件读取漏洞拖库及数据恢复

网安教育培养网络安全人才技术交流、学习咨询01 引言众所周知，由于BC网站的特殊性，其运维团队每天的工资开销可达数十万元，这次拿到授权后，前前后后利用不同的漏洞多次拖了库，但不出意外，漏洞很...

09月14日492 views评论

阅读全文

代码审计

commons-collections反序列化利用链分析（3）

前边分析了CC1和CC2利用链，总体来说都是通过InvokerTransformer#transforme反射调用导致代码执行，但具体构造，先回顾一下CC1和CC2的思路。CC1新建一个map并绑定构...

08月28日32 views评论

阅读全文

CC链1-TransformedMap链学习

一款OutLook信息收集工具

JAVA安全|Gadget篇：CC2 CC4链—Commons-Collections4.0下的特有链

Java 反序列化取经路

Java审计之反序列化挖掘

笔记-蓝队分析

FOFA-IP采集工具

Django SQL注入漏洞（CVE-2021-35042）快速复现

【神兵利器】两款Shiro反序列化漏洞利用Tools（附下载）

【MongoDB】利用未授权访问和任意文件读取漏洞拖库及数据恢复

commons-collections反序列化利用链分析（3）

在线咨询

微信