URLDNS是ysoserial序列化中比较简单的一个链,URLDNS的利用效果是只能触发一次dns请求,而不能去执行命令。比较...
Apache Dubbo反序列化漏洞(CVE-2023-23638)
网安引领时代,弥天点亮未来 0x00写在前面本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!0x01漏洞介绍Apache Dubbo...
JAVA安全初探(二):Java序列化/反序列化和URLDNS链分析
JAVA安全初探:Java序列化/反序列化和URLDNS链分析写在●开篇foreword前面我们已经学习和面向对象编程和基础的反射机制,接下来就该了解一下java序列化和反序列化,并分析一下**yso...
从Rome看二次反序列化
ROME ROME是一组Atom/RSS工具类,它用Java来操作大部份RSS。ROME可能是目前最完善的开源聚合工具,ROME支持绝大多数的RSS协议。 依赖 <dependency> ...
CC链汇总
CC1链 最终的Poc Transformer[] transformers=new Transformer[]{ new ConstantTransformer(Runtime.class), ne...
【app渗透】破解apk app协议 测试接口等安全
免责声明:本公众号所提供的文字和信息仅供学习和研究使用,不得用于任何非法用途。我们强烈谴责任何非法活动,并严格遵守法律法规。读者应该自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公...
Nacos JRaft Hessian 反序列化 RCE 分析
参考链接http://www.bmth666.cn/bmth_blog/2023/06/14/Nacos-Jraft-Hessian%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%...
从Rome看二次反序列化
点击蓝字关注我们ROMEROME是一组Atom/RSS工具类,它用Java来操作大部份RSS。ROME可能是目前最完善的开源聚合工具,ROME支持绝大多数的RSS协议。依赖<dependency...
ysoserial - Gadget(二)
ysoserial - Gadget前言在分析反序列化工具ysoserial的时候参考一些文章,发现了一条全新的 URLDNS 链路,在此进行分析,重点并不仅在于这条链,也是尝试将反序列化链加入到工具...
URLDNS反序列化链分析
URLDNS是Java反序列化上最简单的一条链了,按实际效果来说它并不能被称为一条漏洞利用链,因为它不能执行命令,它的参数是一条URL,最终达到的效果是触发一次DNS请求。但是由于这条链没有依赖任何第...
HDCTF 2023 WP
RANK:10 MISC hardMisczsteg得到数据解base64HDCTF{wE1c0w3_10_HDctf_M15c}ExtremeMisc压缩包常规题型IDAT.png文件尾分离出来zi...
Hessian反序列化漏洞学习记录
出品|博客(ID:moon_flower)►►►声明以下内容,来自先知社区的u21h2作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以...