免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除...
Java安全-利用链.URLDNS
URLDNSURLDNS链是用来检测目标是否存在反序列化漏洞的,他的优点就是不限java版本,因为实在HashMap中触发的很难去对他进行限制,但是仅限于使用他验证是否存在反序列化漏洞,无法进行其他操...
记某次实战hessian不出网反序列化利用
前言某次攻防过程中我们发现了一个hessian反序列化漏洞,经过探测之后发现目标只有dns出网,tcp无法出网,然后我们开始了对目标的深度利用waf绕过首先目标存在一个waf,会拦截我们的Hessia...
2024网鼎杯白虎组初赛---WriteUp(部分,仅供参考学习)
白虎组“反作弊监控”(来源网顶杯官方)本文字数:1947|预计3分钟读完“网鼎杯”是迄今为止全球规模最大、覆盖面最广的国家级网络安全赛事,被称为网络安全“奥运会”,2024年网鼎杯第4届。白虹贯日,虎...
ROME改造计划
ROME改造计划成果从ysoserial原本的4000+缩短到1320(Base64+弹计算器)写在前面 首先非常感谢这次的D^3CTF给我一次学习的机会,两个Java题都挺有意思学到了不同的东西,...
Java反序列化之CC6分析
0x00 前言JDK8U71官方修复了AnnotationInvocationHandler中的readObject方法中一些处理,导致一些高版本JDK无法使用CC1。8U71之后不再对传入Map进行...
【JAVA安全】URLDNS反序列化链
unsetunset前言unsetunsetURLDNS是ysoserial中的一条利用链,通常用于检测是否存在Java反序列化漏洞,该利用链具有如下特点:只能发起 DNS 请求,并不能进行其它利用不...
Java安全之URLDNS链分析
Java安全之URLDNS链分析前言今天来复习一下URLDNS这条链,水一篇文章吧。也弥补了Java安全系列的入门必学的一个利用链的文章的空白。URLDNS链本身不能执行命令,多用于构造 DNS 操作...
Java反序列化之URLDNS从0到1
声明:本篇文章作者YDJA,本文属i春秋原创奖励计划,未经许可禁止转载。https://bbs.ichunqiu.com/thread-63600-1-1.html前言之前对java反序列化漏洞一直都...
Hibernate反序列化利用链分析(1)
分析了ysoserial一系列利用链后发现每一链都是由一些小的点串起来才构成了有每条完整的利用链的,此次分析的hibernate反序列化利用链也不例外,所以打算以每一个小点为中心写一下hibernat...
ysoserial中的URLDNS分析
ysoserial的URLDNS是最简单的一条链自写的代码如下:package ysotest;import ysoserial.payloads.util.Reflections;import ja...
Java安全-URLDNS链审计
一、什么是URLDNS链 URLDNS链是Java安全中比较简单的一条利用链,无需使用任何第三方库,全依靠Java内置的一些类实现,但无法进行命令执行,只能实现对URl的访问探测(发起DNS请求),...