fastjson - 第 9 | CN-SEC 中文网

安全工具

红队武器库漏洞利用工具合集整理-附地址

目录红队武器库漏洞利用工具合集整理海康威视Hikvision综合漏洞利用工具大华Dahua综合漏洞利用工具Nacos综合漏洞利用工具Vcenter综合漏洞利用工具Fastjson漏洞批量检测工具Jen...

09月25日60 views评论

阅读全文

安全漏洞

用友NC-Cloud系统反序列化漏洞(Fastjson)

0x01漏洞介绍用友NC Cloud是用友网络科技股份有限公司推出的一款企业级云服务产品，主要面向大中型企业提供全面的云计算解决方案。用友NC-Cloud /ncchr/pm/ref/...

09月25日32 views评论

阅读全文

JNDI服务利用工具 RMI/LDAP，支持内存马、高版本JDK下利用等，fastjson/log4j rce漏洞检测辅助工具

01工具介绍 JNDI服务利用工具 RMI/LDAP，支持部分场景回显、内存shell，高版本JDK场景下利用等，fastjson rce命令执行，log4j rce命令执行漏洞检测辅...

09月25日安全工具35 views评论

阅读全文

安全工具

Burpsuite漏洞扫描检测插件

我最近在团队中使用了一款开源的 Burp Suite 插件，叫做 gatherBurp。在这几次的红蓝对抗演练中，我们需要快速发现潜在的漏洞，而 gatherBurp 的多个功能就派上了用场。比如，它...

09月22日52 views评论

阅读全文

安全文章

记一次实战中对fastjson waf的绕过

最近遇到一个fastjson的站，很明显是有fastjson漏洞的，因为@type这种字符，fastjson特征很明显的字符都被过滤了.于是开始了绕过之旅，顺便来学习一下如何waf。文章作者：先知社区...

09月21日83 views评论

阅读全文

安全文章

Fastjson 1.2.24 RCE复现

免责声明本文仅用于技术讨论与学习，利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任!漏洞复现这个fastjson1.2.24 rce漏洞是...

09月17日23 views评论

阅读全文

面试渗透安全岗位，这些问题不会可不行

分享一些我面试时遇到的和收集的一些面试题，安服和渗透岗位自我介绍？sql注入怎么防御？sql注入如何提权？sql注入常用绕过方法？sql注入延时注入的原理？用哪些函数sql注入布尔注入的原理？用哪些函...

09月17日安全职场34 views评论

阅读全文

安全文章

Fastjson各版本分析及绕过

前言我们在上一个环境中测试了fastjson1.2.24，我们现在来看一下之后fastjson很有意思的修补和绕过历史环境搭建在测试中，我们修改maven中fastjson的版本为对应的版本重新加载即...

09月13日39 views评论

阅读全文

安全文章

实战中的高版本JDK的JNDI注入

关于JNDI注入一直都是在CTF中见到的，偶然在实战中碰到了一个fastjson，是一个公众号绑定校卡的点通过burpsuite的插件扫到了存在fastjson的漏洞通过下面payload去验证是否为...

09月01日20 views评论

阅读全文

安全开发

Fastjson反序列化利用链分析

一实验环境◆jdk1.8◆windows10pom依赖 <dependency> <groupId>com.alibaba</groupId> <artifa...

08月31日22 views评论

阅读全文

安全文章

Fastjson分析系列1.2.22-1.2.24反序列化漏洞分析

前言本文为Fastjson1.2.22-1.2.24反序列化漏洞分析。主要利用链分为基于TemplateImpl的利用链和基于JdbcRowSetImpl的利用链 TemplateImpl利用链 ...

08月18日12 views已关闭评论

阅读全文

Fastjson姿势技巧集合

点击蓝字，关注我们Fastjson姿势技巧集合一、判断是否用了fastjson鉴别fastjsonDNSLOG{"@type":"java.net.InetSocketAddress"{"addres...

08月12日安全文章37 views评论

阅读全文

红队武器库漏洞利用工具合集整理-附地址

用友NC-Cloud系统反序列化漏洞(Fastjson)

JNDI服务利用工具 RMI/LDAP，支持内存马、高版本JDK下利用等，fastjson/log4j rce漏洞检测辅助工具

Burpsuite漏洞扫描检测插件

记一次实战中对fastjson waf的绕过

Fastjson 1.2.24 RCE复现

面试渗透安全岗位，这些问题不会可不行

Fastjson各版本分析及绕过

实战中的高版本JDK的JNDI注入

Fastjson反序列化利用链分析

Fastjson分析系列1.2.22-1.2.24反序列化漏洞分析

Fastjson姿势技巧集合

在线咨询

微信