fastjson - 第 18 | CN-SEC 中文网

安全工具

一款New工具FastjsonScan

FastjsonScan 一款探测FastJson漏洞工具 0x00 FastjsonScan now is public 🎉🎉🎉 WHAT? FastjsonExpFramework一共分为探测、利...

07月16日8 views评论

阅读全文

安全职场

2023HVV 某大厂二面review

作者：Novatamoffat，转载于freebuf。原文地址：https://www.freebuf.com/jobs/366372.html1、内存马你怎么查杀如果发现了一些内存webshell的...

07月05日104 views评论

阅读全文

护网hvv 2023某大厂二面review

仅参考，答案自行斟酌一、内存马你怎么查杀如果发现了一些内存webshell的痕迹，需要有一个排查的思路来进行跟踪和分析，也是根据各类型的原理，列出一个排查思路—— 1、如果是jsp注入，日志中排...

07月03日安全职场84 views评论

阅读全文

代码审计

FastJson1.2.80漏洞浅析

扫码领资料获黑客教程免费&进群随漏洞环境内容来自@浅蓝的HackingJson议题，本篇文章以理清漏洞思路为主，分为两部分来讲。以下是基于fastjson1.2.80 + ...

07月03日61 views评论

阅读全文

安全文章

一次实战不出网fastjson1.2.31

1. 信息收集和探测某次项目中很轻易挖掘了出fastjson的漏洞，但意外的发现目标既不出网也没有dns，因此实际利用过程中造成了很大困扰，没有任何提示只能盲打实在...

06月27日167 views评论

阅读全文

HW&HVV

安全面试篇--（红队/HW）

0.前言这些问题是笔者从业安全这几年面试的问题（包含甲方和乙方），此次分享的面试内容是攻击方向，答案是笔者自己的总结，某些答案过于口水话，如果仔细推敲某些答案也是不对的，但是这样方便读者和笔者自己理...

06月22日7 views评论

阅读全文

CTF专场

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

2023 Aliyun CTF ezbean 是一道 CTF java 反序列化题目。题目的目的是让选手通过一个 java 原生反序列化入口，最终达成 RCE。本文对题目的几种解法做了具体的分析，主要...

06月19日80 views评论

阅读全文

代码审计

FastJson结合二次反序列化绕过黑名单

本文转自先知社区：https://xz.aliyun.com/t/12606作者：Squirt1e省流该利用链可以在fastjson多个版本实现RCE，并且借助SignedObject绕过第一层安全的...

06月15日59 views评论

阅读全文

安全工具

集成的BurpSuite漏洞探测插件 | 工具

TsojanScan 一个集成的BurpSuite漏洞探测插件 First 本着市面上各大漏洞探测插件的功能比较单一，因此与TsojanSecTeam成员决定在已有框架的基础上修改并增加常用的漏洞探测...

06月15日108 views评论

阅读全文

安全职场

面试长问|Fastjson不出网利用总结

文章参考来源：https://xz.aliyun.com/t/12492简单使用方法如下：String text = "{"name":"aaa","age":"19"}";//序列化String t...

06月13日51 views评论

阅读全文

安全漏洞

华夏erp账号密码泄露+后台rce（最新组合漏洞)

0x01 阅读须知凯撒安全实验室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算...

06月12日1,402 views评论

阅读全文

代码审计

Fastjson反序列化漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）

漏洞原理1.啥是json?json全称是JavaScript object notation。即JavaScript对象标记法，使用键值对进行信息的存储。举个简单的例子如下：{ ...

06月11日135 views评论

阅读全文

一款New工具FastjsonScan

2023HVV 某大厂二面review

护网hvv 2023某大厂二面review

FastJson1.2.80漏洞浅析

一次实战不出网fastjson1.2.31

安全面试篇--（红队/HW）

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

FastJson结合二次反序列化绕过黑名单

集成的BurpSuite漏洞探测插件 | 工具

面试长问|Fastjson不出网利用总结

华夏erp账号密码泄露+后台rce（最新组合漏洞)

Fastjson反序列化漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）

在线咨询

微信