marshalsec | CN-SEC 中文网

安全文章

fastjson 反序列化RCE漏洞复现

大致步骤1，先在攻击机上编写好含有恶意代码的类，编译成class文件。其中有我们要执行的命令，开启web服务2，还需要在攻击机上利用jar包部署rmi服务。3，通过payload请求攻击机上的rmi服...

03月24日14 views评论

阅读全文

安全文章

笔记丨fastjson反序列化从0-反弹shell

一、避坑guide1、maven环境ERROR问题2、docker无法连接网络问题3、marshalsec编译问题二、环境准备1、centos7虚拟机两台（分配两个IP：一个靶机，一个攻击机）2、攻击...

03月04日13 views评论

阅读全文

安全闲碎

【网友投稿】安全人员也被黑了～

声明：请勿利用本公众号文章内的相关技术、工具从事非法测试，如因此造成一切不良后果与文章作者及本公众号无关！先来插个广告，最近在写springboot靶场，欢迎体验和star：仓库地址https://g...

02月12日7 views评论

阅读全文

安全文章

Fastjson 1.2.47 命令执行漏洞复现

漏洞介绍fastjson 是阿里巴巴的开源JSON解析库，它可以解析 JSON 格式的字符串，支持将 JavaBean 序列化为JSON 字符串，也可以从JSON 字符串反序列化到JavaBean。首...

01月02日8 views评论

阅读全文

代码审计

fastjson1.2.24版本反序列化导致RCE

一. 漏洞介绍 fastjson是一个java编写的高性能功能非常完善的JSON库，应用范围非常广，在github上star数都超过8k，在2017年3月15日，fastjson...

11月14日11 views评论

阅读全文

安全工具

JNDI注入漏洞工具使用和对比

说到JNDI注入漏洞工具，最常用的应该就是这两个了吧Marshalsec工具JNDI-Injection-Exploit 工具Marshalsec工具获取与编译介绍Marshalsec是一个用于Jav...

11月04日21 views评论

阅读全文

安全文章

Fastjson 1.2.24 RCE复现

免责声明本文仅用于技术讨论与学习，利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任!漏洞复现这个fastjson1.2.24 rce漏洞是...

09月17日23 views评论

阅读全文

代码审计

log4j2远程代码执行漏洞原理

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！log4j2漏洞原理？CVE-2021-44228，简称：log4j2，利用漏洞可以执行任意命令。该漏洞影响所有 log4j2 受影响的版本，...

05月13日32 views评论

阅读全文

安全文章

漏洞分析 | xxl-job前台api未授权Hessian2反序列化

XXL-JOB是一个分布式任务调度平台。Hessian2是一种序列化协议，用于在XXL-JOB前后端之间传输数据。前台API未授权Hessian2反序列化是指，客户端请求XXL-JOB的前台API时，...

04月01日221 views评论

阅读全文

安全文章

为什么你面不上蓝中？你和别人差距在哪里？【Fastjson篇】

前言在护网面试中面试官大多数都会问"Fastjson"的原理和利用，大部分人的回答要么不正确要么是对着笔记念出来。有可能你的中级就差一个"Fastjson"（dog）环境搭建 java-8 ub...

02月19日27 views评论

阅读全文

代码审计

云网OA代码审计

FastJson Rce项目中使用到的是fastjson1.2.37版本。漏洞点在: 这里使用到了ParseObject方法。com.cloudweb.oa.controller.updateUiSe...

01月21日38 views评论

阅读全文

代码审计

云网OA最新版 FastJson RCE

下载地址:https://gitee.com/bestfeng/yimioa?_from=gitee_search安装的话参考他的官网就行了。里面有详细的安装步骤。项目中使用到的是fastjson1....

01月17日172 views评论

阅读全文

在线咨询

微信