基础知识 java序列化把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。java反序列化...
05月27日11 views评论反序列化
序列化
Java反序列化漏洞基础知识 | 干货
05月27日11 views评论反序列化
序列化
05月27日11 views评论反序列化
序列化
Java RMI 攻击由浅入深
零、前言 十一本来打算不卷了,好好放松放松,但是几个事情对我触动比较大,所以就又给自己设了个搞懂 RMI 反序列化相关攻击的学习目标。 再加上一是为后续深入 IIOP/T3 打下基础,二是最近一位师傅...
05月25日9 views评论反序列化
远程
原创 | java安全-java RMI
点击上方蓝字 关注我吧前言RPC全称为远程过程调用,通俗点讲就是可以在不同的设备上互联调用其方法,比如client可以远程调用server上的方法。而RMI是jdk中RPC的一种实现方式,通过RMI可...
05月18日14 views评论rmi
反序列化
Weblogic漏洞集锦与工具分享
WeblogicWebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络...
05月14日32 views评论rmi
weblogic
干货 | Fastjson漏洞详解
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担...
05月14日14 views评论fastjson
反序列化
Fastjson漏洞详解
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
05月13日19 views评论反序列化
远程
JNDI注入加RMI联合攻击并log4j2漏洞复现
扫码领资料获网安教程免费&进群JNDIJava Naming and Directory Interfacejava命名和目录接口让配置参数和代码 解耦的规范或思想例,使用mysql数据库的语...
05月02日16 views评论代码
远程
跨越语言的艺术:Weblogic序列化漏洞与IIOP协议
Java RMI漏洞利用(1099/1090对外开放-rce)
Java rmi介绍Java RMI 指的是远程方法调用 (Remote Method Invocation)。它是一种机制,能够让在某个 Java 虚拟机上的对象调用另一个 Java 虚拟机中的对象...
03月24日代码审计34 views评论nmap
service
JNDI的基础利用总结(上篇)
ps:在java版本大于1.8u191之后版本存在trustCodebaseURL的限制,只能信任已有的codebase地址,不再能够从指定codebase中下载字节码PART.1JNDI常见sink...
03月23日19 views评论context
service
深入理解 RMI 之运行逻辑与漏洞原理
深入理解 RMI 之漏洞原理篇环境是 jdk8u65本文侧重于理解原理,攻击篇会放到后续一篇中讲。0x01 前言RMI 作为后续漏洞中最为基本的利用手段之一,学习的必要性非常之大。本文着重偏向于 RM...
03月13日6 views评论rmi
stub
一文读懂JNDI-RMI、LDAP注入分析
JNDI介绍JNDI 的全称是 Java Naming and Directory Interface (Java 命名和目录接口 ),JNDI 提供统一的客户端 API,通过不同的服务供应接口(SP...
03月10日33 views评论代理
方法
