hashmap - 第 2 | CN-SEC 中文网

代码审计

最近跟jdbc有关的新知识——toString篇

1，常用toString在jdk17对java安全的影响一文中，我们提到过，后期对于JNDI/反序列化的利用，主要sink点在jdbc，那么这两条链就额外重要。readObject->toStr...

01月14日15 views评论

阅读全文

安全文章

URLDNS链分析

Author：d4m1tsURLDNS链利用先来看看用ysoserial工具怎么利用的。# 生成序列化Payloadjava-jar ysoserial-0.0.6-SNAPSHOT-all.jar ...

01月11日4 views评论

阅读全文

安全文章

不删除key的CC6反序列化

不删除 "key" 的CC6反序列化[TOC]如何利用CC6CC6，一个增强版的CC1，能够在高版本中使用。利用类还是和CC1 一样，但是替换掉了CC1 中用来反序列化的 AnnotationInvo...

01月06日4 views评论

阅读全文

安全文章

【yso】 - URLDNS反序列化分析

前言gadget分析触发过程 POC测试代码 HashMap HashMap的原理设置新键值对读取key的value 反序列化过...

12月17日2 views评论

阅读全文

代码审计

JAVA安全-反序列化系列-CC6(无依赖链)分析

免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号菜狗安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，会立即删除...

12月02日4 views评论

阅读全文

代码审计

Java安全-利用链.URLDNS

URLDNSURLDNS链是用来检测目标是否存在反序列化漏洞的，他的优点就是不限java版本，因为实在HashMap中触发的很难去对他进行限制，但是仅限于使用他验证是否存在反序列化漏洞，无法进行其他操...

11月12日5 views评论

阅读全文

安全文章

记某次实战hessian不出网反序列化利用

前言某次攻防过程中我们发现了一个hessian反序列化漏洞，经过探测之后发现目标只有dns出网，tcp无法出网，然后我们开始了对目标的深度利用waf绕过首先目标存在一个waf，会拦截我们的Hessia...

11月11日27 views评论

阅读全文

CTF专场

2024网鼎杯白虎组初赛---WriteUp（部分，仅供参考学习）

白虎组“反作弊监控”（来源网顶杯官方）本文字数：1947｜预计3分钟读完“网鼎杯”是迄今为止全球规模最大、覆盖面最广的国家级网络安全赛事，被称为网络安全“奥运会”，2024年网鼎杯第4届。白虹贯日，虎...

11月01日552 views评论

阅读全文

安全博客

ROME改造计划

ROME改造计划成果从ysoserial原本的4000+缩短到1320（Base64+弹计算器）写在前面首先非常感谢这次的D^3CTF给我一次学习的机会，两个Java题都挺有意思学到了不同的东西，...

10月29日8 views评论

阅读全文

代码审计

Java反序列化之CC6分析

0x00 前言JDK8U71官方修复了AnnotationInvocationHandler中的readObject方法中一些处理，导致一些高版本JDK无法使用CC1。8U71之后不再对传入Map进行...

10月24日16 views评论

阅读全文

代码审计

【JAVA安全】URLDNS反序列化链

unsetunset前言unsetunsetURLDNS是ysoserial中的一条利用链，通常用于检测是否存在Java反序列化漏洞，该利用链具有如下特点：只能发起 DNS 请求，并不能进行其它利用不...

10月21日20 views评论

阅读全文

代码审计

Java安全之URLDNS链分析

Java安全之URLDNS链分析前言今天来复习一下URLDNS这条链，水一篇文章吧。也弥补了Java安全系列的入门必学的一个利用链的文章的空白。URLDNS链本身不能执行命令，多用于构造 DNS 操作...

10月18日17 views评论

阅读全文

最近跟jdbc有关的新知识——toString篇

URLDNS链分析

不删除key的CC6反序列化

【yso】 - URLDNS反序列化分析

JAVA安全-反序列化系列-CC6(无依赖链)分析

Java安全-利用链.URLDNS

记某次实战hessian不出网反序列化利用

2024网鼎杯白虎组初赛---WriteUp（部分，仅供参考学习）

ROME改造计划

Java反序列化之CC6分析

【JAVA安全】URLDNS反序列化链

Java安全之URLDNS链分析

在线咨询

微信