ysoserial | CN-SEC 中文网

安全工具

第117篇：ysoserial反序列化漏洞利用工具修改版，支持JDK1.5老旧系统

Part1 前言大家好，我是ABC_123。好久没有更新红队技术方面的文章了，自己之前写了很多小工具，后续修正一些bug修改后，陆续放出来给大家用一用。Ysoserial是老外写的java反序列...

03月16日16 views评论

阅读全文

安全新闻

Sitecore 曝零日漏洞，可远程命令执行

介绍近日披露的 Sitecore 体验平台关键漏洞（CVE-2025-27218）允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。该漏洞源于不安全的数据反序列化操作，影响 Sitecore 体...

03月10日18 views评论

阅读全文

安全文章

《URLDNS调试那些小事》

URLDNS调试那些小事近期在看javaweb相关的知识，ysoserial作为反序列化利用链的神器，想稍微利用它来调试一个简单的urldns利用链，进而了解这个工具。ysoserial链接：下载地址...

02月26日15 views评论

阅读全文

代码审计

Ysoserial CC1利用链构造分析

YsoserialCC1利用链构造分析一.前言：CC链即Apache Commons Collections是Apache软件基金会的项目,Commons-Collections 试图通过提供新的接口...

02月20日4 views评论

阅读全文

代码审计

【yso】- CC6反序列化分析

前言继续学习ysoserial中的CommonsCollections6反序列化利用链。ysoserial中CC6 payload构造先看下yso中cc6这条链的payload是怎么构造的，后续我们再...

02月15日11 views评论

阅读全文

代码审计

URLDNS Gadget分析

前言URLDNS是ysoserial中比较简单的gadget，可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget，URLDNS不依赖于第三方类和不限制jdk版本的属性使其...

02月15日9 views评论

阅读全文

安全文章

实战shiro有key无链rce

前言最近项目测试中，发现一个shiro框架的系统，经过工具扫描发现有可用的key，但是没有能直接使用的链，于是来复习一下有key无链来rce的打法。当利用工具发现有如下的情况，就可以尝...

02月11日66 views评论

阅读全文

安全文章

JBoss 4.x JBossMQ JMS反序列化

影响范围JBoss AS <=4.x漏洞概述在JBoss AS 4.x及之前版本的JbossMQ实现过程中，JMS over HTTP Invocation Layer的HTTPServerIL...

01月22日9 views评论

阅读全文

安全新闻

新一代Github投毒｜针对网络安全人员钓鱼

0x01 前言在Github上APT组织“海莲花”发布存在后门的提权BOF，通过该项目针对网络安全从业人员进行钓鱼。不过其实早在几年前就已经有人对Visual Studio项目恶意利用进行过研究，所以...

01月11日20 views评论

阅读全文

安全文章

URLDNS链分析

Author：d4m1tsURLDNS链利用先来看看用ysoserial工具怎么利用的。# 生成序列化Payloadjava-jar ysoserial-0.0.6-SNAPSHOT-all.jar ...

01月11日4 views评论

阅读全文

代码审计

JAVA安全之JDK8u141版本绕过研究

基本介绍从JDK8u141开始JEP290中针对RegistryImpl_Skel#dispatch中bind、unbind、rebind操作增加了checkAccess检查，此项检查只允许来源为本地...

12月20日9 views评论

阅读全文

安全文章

【yso】 - URLDNS反序列化分析

前言gadget分析触发过程 POC测试代码 HashMap HashMap的原理设置新键值对读取key的value 反序列化过...

12月17日2 views评论

阅读全文

第117篇：ysoserial反序列化漏洞利用工具修改版，支持JDK1.5老旧系统

Sitecore 曝零日漏洞，可远程命令执行

《URLDNS调试那些小事》

Ysoserial CC1利用链构造分析

【yso】- CC6反序列化分析

URLDNS Gadget分析

实战shiro有key无链rce

JBoss 4.x JBossMQ JMS反序列化

新一代Github投毒｜针对网络安全人员钓鱼

URLDNS链分析

JAVA安全之JDK8u141版本绕过研究

【yso】 - URLDNS反序列化分析

在线咨询

微信