setfieldvalue | CN-SEC 中文网

CTF专场

[随手分享]Web-Chains在Java赛题中的利用

项目地址地址如下：https://github.com/Java-Chains/web-chains安装命令：docker run -d --name web-chains --restart...

02月09日15 views评论

阅读全文

代码审计

javasec | CB链详细分析

本文由掌控安全学院 - fupanc 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn） CB链环境配置环境配置 pom.xml添加： <...

01月16日8 views评论

阅读全文

代码审计

二次反序列化学习（一）

为了更好找到银行驻场，学习二次反序列化。SignedObject0x01 SignedObject分析比较简单。可以序列化，field可控。太完美了，早入行几年就好了。java/security/Si...

01月19日25 views评论

阅读全文

安全开发

Java反序列化利用：commons-beanutils（cb链）简单分析

前言上篇文章了解了shiro反序列化漏洞是如何挖掘出来的，接下来看看如何利用各种链条来执行命令本文分析commons-beanutils链条简称cb链java反序列化漏洞先简单了解下java反序列...

01月08日36 views评论

阅读全文

安全博客

Shiro-550 反序列化分析

Shiro-550 反序列化原理分析, 以及无数组 CommonsCollections 链和 CommonsBeanutils 利用链的构造 Shiro 反序列化原理分析shiro-550 又叫 C...

12月15日11 views评论

阅读全文

安全文章

某个系统艰难的反序列化

1. 自定义反序列化在它的某个页面中，发现了自定义反序列化，这个页面好就好在它会返回报错堆栈的序列化数据，方便debug。URLDNS探测结果如下。cc31or32...

11月30日32 views评论

阅读全文

SecIN安全技术社区

从Rome看二次反序列化

ROME ROME是一组Atom/RSS工具类，它用Java来操作大部份RSS。ROME可能是目前最完善的开源聚合工具，ROME支持绝大多数的RSS协议。依赖 <dependency> ...

07月12日31 views已关闭评论

阅读全文

代码审计

从Rome看二次反序列化

点击蓝字关注我们ROMEROME是一组Atom/RSS工具类，它用Java来操作大部份RSS。ROME可能是目前最完善的开源聚合工具，ROME支持绝大多数的RSS协议。依赖<dependency...

05月31日36 views评论

阅读全文

代码审计

JAVA安全|Gadget篇：shiro无依赖利用与常见shiro利用工具对比浅析

本文为JAVA安全系列文章第二十篇，主要学习shiro无依赖利用及了解常见shiro利用工具中的利用链。0x01 CB2链一、CB1与CB2...

02月17日618 views评论

阅读全文

代码审计

commons-beanutils 的三种利用原理构造与POC

写在前面 commons-beanutils 是 Apache 提供的一个用于操作 JAVA bean 的工具包。里面提供了各种各样的工具类，让我们可以很方便的对bean对象的属...

10月09日66 views评论

阅读全文

代码审计

java安全 commons-beanutils构造链分析

java安全 commons-beanutils构造链分析public static byte[] bytes =Base64.getDecoder().decode("yv66vgAAADQAIQo...

05月05日24 views评论

阅读全文

[随手分享]Web-Chains在Java赛题中的利用

javasec | CB链详细分析

二次反序列化学习（一）

Java反序列化利用：commons-beanutils（cb链）简单分析

Shiro-550 反序列化分析

某个系统艰难的反序列化

从Rome看二次反序列化

从Rome看二次反序列化

JAVA安全|Gadget篇：shiro无依赖利用与常见shiro利用工具对比浅析

commons-beanutils 的三种利用原理构造与POC

java安全 commons-beanutils构造链分析

在线咨询

微信