uidefaults | CN-SEC 中文网

代码审计

java 静态方法 load+写文件组合拳利用

前言前几天看到 nacos 漏洞的时候发现本质是 hessian 反序列化，而 hessian 反序列化和其他反序列化个人认为最特殊的一点即是一个类根本不需要序列化接口，这样利用面大大增加，而其原生的...

02月22日14 views评论

安全文章

前言某次攻防过程中我们发现了一个hessian反序列化漏洞，经过探测之后发现目标只有dns出网，tcp无法出网，然后我们开始了对目标的深度利用waf绕过首先目标存在一个waf，会拦截我们的Hessia...

11月11日33 views评论

安全文章

参考链接http://www.bmth666.cn/bmth_blog/2023/06/14/Nacos-Jraft-Hessian%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%...

06月21日215 views评论

CTF专场

周末和cx某人打了0ctf ，继hfctf2022 ezchain 找到rome二次反序列化链之后，hessian到挖jdk原生链了2333.环境：只有 hessian 4.0.38 + jdk8...

09月29日168 views评论