getdeclaredfield | CN-SEC 中文网

代码审计

【yso】- CC6反序列化分析

前言继续学习ysoserial中的CommonsCollections6反序列化利用链。ysoserial中CC6 payload构造先看下yso中cc6这条链的payload是怎么构造的，后续我们再...

02月15日11 views评论

阅读全文

代码审计

Java安全小记-Commons-Collections3反序列化

java cc3链 cc3用的是动态加载字节码的形式进行的rce可以参考自己记得动态加载字节码的笔记来了解。该链主要是利用了TemplatesImpl这个类进行字节码加载。通过笔记我们了解到java加...

01月09日8 views评论

阅读全文

安全文章

ChatGPT辅助分析：哥斯拉木马原理与Tomcat回显链路挖掘

前言本次分析使用了ChatGPT进行辅助分析，大大提升了工作效率，很快就分析出木马的工作流程和构造出利用方式。分析• 首先对该木马进行格式化,以增强代码的可读性。得到如下代码<jsp:root ...

10月28日6 views评论

阅读全文

安全文章

Metabase 高版本JDK下嵌入式Jetty中的Customizer内存马实现

获黑客教程免费&进群前言之前在Metabase 漏洞中实现了任意js脚本的执行,但是这并不优雅每次都要发送完整的请求包.而且Metabase 的部署方法比较特殊它打包成了一个独立jar来运...

10月07日5 views评论

阅读全文

代码审计

cc链之cc3分析

免责声明请您仔细阅读以下声明：您在AtomsTeam查看信息以及使用AtomsTeam服务，表明您对以下内容的接受：AtomsTeam提供程序(方法)可能带有攻击性，仅供安全研究与实验性教学之用。用...

04月18日12 views评论

阅读全文

代码审计

『代码审计』ysoserial CB1 无依赖反序列化利用链分析

点击蓝字，关注我们日期：2024-03-11作者：ICDAT介绍：这篇文章主要是对 ysoserial CB1 的无依赖反序列化无利用链进行分析。0x00 前言我们上一篇文章分析了ysoserial中...

03月13日37 views评论

阅读全文

安全文章

BeanShell注入内存马

项目遇到用友NC 只存在 BeanShell 远程代码执行漏洞，写入 jsp 访问 404，尝试通过 BeanShel...

01月05日91 views评论

阅读全文

安全文章

借助AI分析哥斯拉木马原理与Tomcat回显链路挖掘

前言本次分析使用了ChatGPT进行辅助分析，大大提升了工作效率，很快就分析出木马的工作流程和构造出利用方式。分析• 首先对该木马进行格式化,以增强代码的可读性。得到如下代码<jsp:...

09月05日19 views评论

阅读全文

安全文章

从Tomcat源码中寻找request路径进行注入

前言前面主要是通过寻找一个全局存储的request / response来进行Tomcat中间下的回显，但是在tomcat 7环境下并不能够获取到StandardContext...

12月21日12 views评论

阅读全文

安全文章

【内存马】- 通过反序列化漏洞注入内存马

1. 前言2. 漏洞环境3. 加载字节码的gadget4. 反序列化注入内存马 4.1 获取 request & response 对象 &nbs...

11月10日107 views评论

阅读全文

安全文章

【技术分享】Tomcat回显技术学习汇总

01 简介 2022年初打算把反序列化漏洞后利用技术给学习下，主要分为回显技术和内存马技术两大模块。因为之前对回显技术有所了解，就先把这块知识给弥补下。02 搭建环境&...

10月09日41 views评论

阅读全文

【yso】- CC6反序列化分析

Java安全小记-Commons-Collections3反序列化

ChatGPT辅助分析：哥斯拉木马原理与Tomcat回显链路挖掘

Metabase 高版本JDK下嵌入式Jetty中的Customizer内存马实现

cc链之cc3分析

『代码审计』ysoserial CB1 无依赖反序列化利用链分析

BeanShell注入内存马

借助AI分析哥斯拉木马原理与Tomcat回显链路挖掘

从Tomcat源码中寻找request路径进行注入

【内存马】- 通过反序列化漏洞注入内存马

【技术分享】Tomcat回显技术学习汇总

在线咨询

微信