readobject - 第 4 | CN-SEC 中文网

代码审计

commons-beanutils 的三种利用原理构造与POC

写在前面 commons-beanutils 是 Apache 提供的一个用于操作 JAVA bean 的工具包。里面提供了各种各样的工具类，让我们可以很方便的对bean对象的属...

10月09日66 views评论

阅读全文

代码审计

JAVA安全|Gadget篇：URLDNS链

0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识，构建自己的java知识体系，并实际地将java用起来，达到熟练掌握ja...

10月01日131 views评论

阅读全文

安全文章

Weblogic T3协议白名单绕过方法探索

去年weblogic出白名单时研究了下怎么绕过，总结出了下面的思路，本想再找找有无新的攻击面的思路，但是找了几次都没找到，后来就搁置了。昨天看见https://xz.aliyun.com/t/1103...

09月19日20 views评论

阅读全文

代码审计

Java反序列化基础篇反序列化概念与利用

0x01 前言写这篇文章，是想在 Java 反序列化基础的地方再多过几遍，毕竟万丈高楼平地起。我是非常不建议新手们一上来就开始分析 CC 链，就开始看 shiro 的 POC 的，我觉得还是得先打好基...

08月21日31 views评论

阅读全文

代码审计

『代码审计』ysoserial CommonsCollections 1 反序列化分析

点击蓝字关注我们日期：2022-07-18作者：ICDAT介绍：这篇文章主要是对 ysoserial CommonsCollections 1 反序列化链分析。0x00 前言前面我们首先啃了 Com...

07月20日64 views评论

阅读全文

安全文章

Tomcat session 分析【CVE-2020-9484】

声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此...

07月17日24 views评论

阅读全文

代码审计

初识Java反序列化

前言研究某产品反序列化EXP时，搜集到的POC只有一段16进制字节序列难以利用，遂有下文对Java序列化和反序列化的学习。大致内容如下：序列化和反序列化示例序列化数据组成解构反序列化漏洞形成...

06月30日77 views已关闭评论

阅读全文

代码审计

Java反序列化基础篇-01-反序列化概念与利用

05月23日87 views评论

阅读全文

安全开发

使用codeql自动挖掘Java反序列化gadget

0x00 背景前两天看到一篇老外写的用codeql挖掘Java反序列化gadget的文章 https://www.synacktiv.com/en/publications/finding-gadg...

04月03日129 views评论

阅读全文

代码审计

『代码审计』ysoserial CommonsCollections 5 反序列化分析(二)

“ 点击蓝字关注我们日期：2022-03-21作者：ICDAT介绍：这篇文章主要是对之前ysoserial CommonsCollections 5反序列化(一)...

03月23日83 views评论

阅读全文

代码审计

Java代码审计：反序列化

1 反序列化漏洞反序列漏洞，当输入的反序列化的数据可被用户控制，那么攻击者即可通过构造恶意输入，让反序列化产生非预期的对象，在此过程中执行构造的任意代码...

01月16日187 views评论

阅读全文

安全开发

说说JAVA反序列化

JAVA 是我国开发者广泛使用的开发语言，在金融行业使用尤为突出。实战中，利用 Java 反序列化实现远程命令执行的案例增长趋势明显，同时，WebLogic、 WebSph...

01月02日171 views评论

阅读全文

commons-beanutils 的三种利用原理构造与POC

JAVA安全|Gadget篇：URLDNS链

Weblogic T3协议白名单绕过方法探索

Java反序列化基础篇反序列化概念与利用

『代码审计』ysoserial CommonsCollections 1 反序列化分析

Tomcat session 分析【CVE-2020-9484】

初识Java反序列化

Java反序列化基础篇-01-反序列化概念与利用

使用codeql自动挖掘Java反序列化gadget

『代码审计』ysoserial CommonsCollections 5 反序列化分析(二)

Java代码审计：反序列化

说说JAVA反序列化

在线咨询

微信