ysoserial - 第 3 | CN-SEC 中文网

HW&HVV

某市级HVV攻防演练总结

前言正如今年的xx题目，学习应从本手开始，把基础打好，才能在实战中打出妙手操作，如果眼高手低，往往会落到俗手的下场这次攻防演练每个队伍分配不同的目标，有些队伍拿的点可以直接 nday 打，有些队伍外网...

10月19日41 views评论

阅读全文

安全漏洞

金蝶云星空反序列化远程代码执行漏洞复现

漏洞原理由于金蝶云星空管理中心在处理序列化数据时，未对数据进行签名或校验，攻击手可以写入包含恶意代码的序列化数据，系统在进行反序列化时造成远程命令执行，该“管理中心“是提供给管理员使用的管理端，默认...

10月19日52 views评论

阅读全文

安全文章

春秋云镜-Delivery

flag01先扫一波给出的 IP 端口start infoscan39.98.115.204:80 open39.98.115.204:21 open39.98.115.204:8080 open39...

10月13日13 views评论

阅读全文

常见JAVA反序列化危险对象列表

在反序列化时设置类的黑名单来防御反序列化漏洞利用及攻击，这个做法在源代码修复的时候并不是推荐的方法，因为你不能保证能覆盖所有可能的类，而且有新的利用payload出来时也需要随之更新黑名单，但有一种场...

10月13日代码审计38 views评论

阅读全文

安全文章

ysoserial中的URLDNS分析

ysoserial的URLDNS是最简单的一条链自写的代码如下：package ysotest;import ysoserial.payloads.util.Reflections;import ja...

09月28日26 views评论

阅读全文

安全漏洞

金蝶云星空远程代码执行漏洞 POC

0x01漏洞介绍金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织，多利润中心的大中型企业，以 “开放、标准、社交”...

09月28日33 views评论

阅读全文

安全文章

Apache Ofbiz漏洞合集

Apache Ofbiz XMLRPC RCE漏洞（CVE-2020-9496）1、漏洞概述Apache ofbiz 存在反序列化漏洞，攻击者通过访问未授权接口，构造特定的xmlrpc http请...

09月25日12 views评论

阅读全文

安全文章

漏洞利用 | jmx协议攻击方式

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！在工作中遇到了jmx未授权的漏洞，此前没遇到过，遂在网上找了资料，在本地搭...

09月12日70 views评论

阅读全文

安全文章

某中间件反序列化链曲折调试

一、前言朋友找我一起调试宝蓝德中间件的发序列化漏洞，经过朋友一起的努力调试：使用断点、重写java文件等多种手段进行序列化生成字节码，最后改Rhino2的链构造成功。二、曲折的反序列化链调试已知宝蓝德...

09月03日281 views评论

阅读全文

安全文章

ysoserial-调试分析

前言本篇文章分析调试的是URLDNS以及CommonCollections系列 URLDNSURLDNS作为ysoserial系列最基础的链，作用还是蛮大的.具体作用如下：判断当前环境是否存在反序列...

08月18日14 views已关闭评论

阅读全文

安全漏洞

金蝶云星空反序列化远程代码执行漏洞复现

08月15日123 views评论

阅读全文

代码审计

FastJson1&FastJson2反序列化利用链分析

前言写这篇文章的起因是在二开ysoserial的时候突然发现在Y4er师傅的ysoserial当中有两条关于FastJson的利用链，分别是FastJson1&FastJson2但是这两条利...

08月05日39 views评论

阅读全文

某市级HVV攻防演练总结

金蝶云星空反序列化远程代码执行漏洞复现

春秋云镜-Delivery

常见JAVA反序列化危险对象列表

ysoserial中的URLDNS分析

金蝶云星空远程代码执行漏洞 POC

Apache Ofbiz漏洞合集

漏洞利用 | jmx协议攻击方式

某中间件反序列化链曲折调试

ysoserial-调试分析

金蝶云星空反序列化远程代码执行漏洞复现

FastJson1&FastJson2反序列化利用链分析

在线咨询

微信