fastjson - 第 3 | CN-SEC 中文网

安全新闻

网安原创文章推荐【2025/1/28】

2025-01-28 微信公众号精选安全技术文章总览洞见网安 2025-01-28 0x1 原创工具|Venom-JWT渗透工具 - 针对JWT漏洞和密钥爆破服务渗透测试阿呆攻防 2025-01-28...

01月30日5 views评论

阅读全文

安全文章

fastjson1.2.24 1.2.27漏洞复现

入职大厂必会写在前面的话：请注意本篇博客最后面的附（注意java版本），本篇博客采用的是LDAP服务getshell，rmi同理。阅读本篇博客需了解fastjson，ldap，rmi。启动靶场在终端里...

01月28日19 views评论

阅读全文

安全工具

Hyacinth:综合性比较强的java漏洞集合工具（集成多种实用小工具）

简介该工具参考多个开源项目，取长补短，捏合成的一个综合性比较强的Java漏洞利用工具集，该工具集成常见Java漏洞检测以及多种实用小工具；运行jar即可使用，采用图形化界面，简明易操作。该工具有效...

01月17日21 views评论

阅读全文

Jeecg存在JNDI代码执行漏洞 POC

Jeecg存在JNDI代码执行漏洞 Jeecg (J2EE C ode G eneration)是一款基于代码生成器的低代码开发平台, 使用 JEECG 可以简单快速地开发出企业级的 Web 应用系统...

01月15日安全漏洞39 views评论

阅读全文

安全文章

高版本Fastjson在Java原生反序列化中的利用

目录• 前言• 绕过思路一：从已知gadget中寻找TemplatesImpl替代品• ReferenceSerialized• LdapAttribute• 绕过思路二：利用JDBC-Attack替...

01月12日16 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/1/11】

2025-01-11 微信公众号精选安全技术文章总览洞见网安 2025-01-11 0x1 再说 API 安全：52个可被利用的弱点分析再说安全 2025-01-11 23:54:25 本文深入探讨了...

01月12日3 views评论

阅读全文

安全文章

从任意文件下载到getshell

申明：文章仅供技术交流，请自觉遵守网络安全相关法律法规，切勿利用文章内的相关技术从事非法活动，如因此产生的一切不良后果与文章作者无关。本文由ZccAcc师傅发表在奇安信攻防社区文章地址：https:/...

01月10日15 views评论

阅读全文

安全文章

WAF绕过 | 记一次实战中对Fastjson waf的绕过

原文链接：https://xz.aliyun.com/t/15602 作者：1341025112991831 0x1 前言最近遇到一个fastjson的站，很明显是有fastjson漏洞...

01月09日12 views评论

阅读全文

代码审计

【代审复现】基于JAVA的某开源OA后台Rce代码审计

提及这是记录去年加入X渡团队时学习的一篇代码审计还原；X网OA的后台Fastjson反序列化RCE漏洞，当时也是跟着relay师傅的教程进行还原由于这是开源源码不需要进行反编译等操作，搭建好...

01月09日11 views评论

阅读全文

代码审计

Java安全小记-FastJson反序列化

Fastjson回顾这里先来回顾一下fastjson怎么使用，其实研究具体的漏洞主要就是fastjson的序列化和反序列化先来创建一个类package com.ocean;publicclassUse...

01月06日17 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/1/1】

2025-01-01 微信公众号精选安全技术文章总览洞见网安 2025-01-010x1 X-Ways Forensics 功能介绍——事件列表功能金星路406取证人 2025-01-01 23:38...

01月03日6 views评论

阅读全文

安全文章

漏洞分析 | 利用 CodeQL 分析 fastjson 1.2.80 利用链

前言前阵子浅蓝师傅在Kcon2022上公开了fastjson 1.2.80漏洞的利用思路和Gadget，根据漏洞利用思路，本文分析下如何利用CodeQL去挖掘fastjson 1.2.80的这些利用链...

01月02日5 views评论

阅读全文

在线咨询

微信