ysoserial - 第 2 | CN-SEC 中文网

代码审计

24.学习ysoserial.net的plugins第三弹

（.NET反序列化今年没有多少篇啦，除开这篇后续的都挺有活的）1.SessionSecurityTokenHandler还是先来看一下这个的安全问题，在其ReadToken()方法中可以看到一个非常明...

12月09日16 views评论

阅读全文

代码审计

25.net安全学习特别篇之给ysoserial.net贡献plugins

1.MachineKeySessionSecurityTokenHandler分析在本文发布之前，也许还没有MachineKeySessionSecurityTokenHandler这个插件，因为这是...

12月09日11 views评论

阅读全文

安全工具

冰蝎内存马生成工具 ysoserialbtl

0x01 工具介绍基于ysoserial扩展命令执行结果回显，生成冰蝎内存马。 0x02 安装与使用1、CommonBeanutils1Echo, 回显命令执行的输出结果。利用方式是在header中增...

11月24日17 views评论

阅读全文

安全文章

基于ysoserial的深度利用研究（命令回显与内存马）

0x01 前言很多小伙伴做反序列化漏洞的研究都是以命令执行为目标，本地测试最喜欢的就是弹计算器，但没有对反序列化漏洞进行深入研究，例如如何回显命令执行的结果，如何加载内存马。在上一篇文章中↓↓↓记一次...

11月24日3 views评论

阅读全文

安全工具

【工具篇】Apache Shiro 反序列化漏洞检测与利用工具

工具介绍Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。该脚本通过网络收集到的22个key，利用ysoserial工具中的URLDNS这...

11月03日47 views评论

阅读全文

安全工具

图形化Java反序列化利用工具 - Deswing

01 项目地址https://github.com/0ofo/Deswing02 项目介绍这是一个Java反序列化工具。集成ysoserial，一键生成并导出反序列化利用连payload。注：工具仅供...

11月03日11 views评论

阅读全文

代码审计

『代码审计』ysoserial Jdk7u21 反序列化漏洞分析

日期：2023-06-21作者：ICDAT介绍：这篇文章主要是对ysoserial中JDK7u21反序列化进行分析。 0x00 前言最近在项目中遇到了一些反序列化的漏洞，在学习过程中不可避免的接触到...

11月01日22 views评论

阅读全文

安全工具

ysoserial反序列化图形利用工具

工具简介 ysoserial 图形化，探测 gadget，TomcatEcho，命令执行，冰蝎，哥斯拉内存马注入，加载字节码等。如果对您有帮助，感觉不错的话，请您给个大大的 ⭐️❗️版本更新 V1.1...

10月23日28 views评论

阅读全文

HW&HVV

某市级HVV攻防演练总结

前言正如今年的xx题目，学习应从本手开始，把基础打好，才能在实战中打出妙手操作，如果眼高手低，往往会落到俗手的下场这次攻防演练每个队伍分配不同的目标，有些队伍拿的点可以直接 nday 打，有些队伍外网...

10月19日34 views评论

阅读全文

安全漏洞

金蝶云星空反序列化远程代码执行漏洞复现

漏洞原理由于金蝶云星空管理中心在处理序列化数据时，未对数据进行签名或校验，攻击手可以写入包含恶意代码的序列化数据，系统在进行反序列化时造成远程命令执行，该“管理中心“是提供给管理员使用的管理端，默认...

10月19日32 views评论

阅读全文

安全文章

春秋云镜-Delivery

flag01先扫一波给出的 IP 端口start infoscan39.98.115.204:80 open39.98.115.204:21 open39.98.115.204:8080 open39...

10月13日7 views评论

阅读全文

常见JAVA反序列化危险对象列表

在反序列化时设置类的黑名单来防御反序列化漏洞利用及攻击，这个做法在源代码修复的时候并不是推荐的方法，因为你不能保证能覆盖所有可能的类，而且有新的利用payload出来时也需要随之更新黑名单，但有一种场...

10月13日代码审计33 views评论

阅读全文

24.学习ysoserial.net的plugins第三弹

25.net安全学习特别篇之给ysoserial.net贡献plugins

冰蝎内存马生成工具 ysoserialbtl

基于ysoserial的深度利用研究（命令回显与内存马）

【工具篇】Apache Shiro 反序列化漏洞检测与利用工具

图形化Java反序列化利用工具 - Deswing

『代码审计』ysoserial Jdk7u21 反序列化漏洞分析

ysoserial反序列化图形利用工具

某市级HVV攻防演练总结

金蝶云星空反序列化远程代码执行漏洞复现

春秋云镜-Delivery

常见JAVA反序列化危险对象列表

在线咨询

微信