免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除...
Java 安全 | 反序列化 URLDNS+CC+自己挖一条链+CB
首先特别感谢 FreeBuf 这个平台, 本来这篇文章是误删了的, 在《编辑》文章部分一键找回了,23333。前言如同标题一样, 本篇文章会介绍反序列化漏洞的基本原理,以及分析三种反序列化链路:URL...
Java安全-利用链.URLDNS
URLDNSURLDNS链是用来检测目标是否存在反序列化漏洞的,他的优点就是不限java版本,因为实在HashMap中触发的很难去对他进行限制,但是仅限于使用他验证是否存在反序列化漏洞,无法进行其他操...
对Java反序列化脏数据绕WAF新姿势的补充
对Java反序列化脏数据绕WAF新姿势的补充引言相信大家都看过回忆飘如雪大师傅的一篇文章,Java反序列化数据绕WAF之加大量脏数据,在这篇文章当中大师傅提出了通过将gadget加入到集合类型从而可以...
【JAVA安全】URLDNS反序列化链
unsetunset前言unsetunsetURLDNS是ysoserial中的一条利用链,通常用于检测是否存在Java反序列化漏洞,该利用链具有如下特点:只能发起 DNS 请求,并不能进行其它利用不...
Java安全之URLDNS链分析
Java安全之URLDNS链分析前言今天来复习一下URLDNS这条链,水一篇文章吧。也弥补了Java安全系列的入门必学的一个利用链的文章的空白。URLDNS链本身不能执行命令,多用于构造 DNS 操作...
实战 | Druid未授权到cf接管云拿下
1.前言在挖某家SRC的时候,通过域名历史解析找到一个IP,然后通过各种问题组合接管云控制台,最后告知打歪了,今天分享一波。有点标题党了,这个流程实际上也不是很难(2.从druid入手拿到了一个历史解...
Java反序列化之URLDNS从0到1
声明:本篇文章作者YDJA,本文属i春秋原创奖励计划,未经许可禁止转载。https://bbs.ichunqiu.com/thread-63600-1-1.html前言之前对java反序列化漏洞一直都...
Java反序列化之反射&URLDNS链审计
获黑客教程免费&进群JAVA序列化和反序列化概念:Java序列化是指把Java对象转换为字节序列的过程;Java反序列化是指把字节序列恢复为Java对象的过程。序列化分为两大部分:序列化是这个...
从druid一路杀到云控制台
1.前言在挖某家SRC的时候,通过域名历史解析找到一个IP,然后通过各种问题组合接管云控制台,最后告知打歪了,今天分享一波。有点标题党了,这个流程实际上也不是很难(2.从druid入手拿到了一个历史解...
ysoserial中的URLDNS分析
ysoserial的URLDNS是最简单的一条链自写的代码如下:package ysotest;import ysoserial.payloads.util.Reflections;import ja...
Java安全-URLDNS链审计
一、什么是URLDNS链 URLDNS链是Java安全中比较简单的一条利用链,无需使用任何第三方库,全依靠Java内置的一些类实现,但无法进行命令执行,只能实现对URl的访问探测(发起DNS请求),...