ysoserial - 第 3 | CN-SEC 中文网

安全文章

ysoserial中的URLDNS分析

ysoserial的URLDNS是最简单的一条链自写的代码如下：package ysotest;import ysoserial.payloads.util.Reflections;import ja...

09月28日19 views评论

阅读全文

安全漏洞

金蝶云星空远程代码执行漏洞 POC

0x01漏洞介绍金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织，多利润中心的大中型企业，以 “开放、标准、社交”...

09月28日31 views评论

阅读全文

安全文章

Apache Ofbiz漏洞合集

Apache Ofbiz XMLRPC RCE漏洞（CVE-2020-9496）1、漏洞概述Apache ofbiz 存在反序列化漏洞，攻击者通过访问未授权接口，构造特定的xmlrpc http请...

09月25日9 views评论

阅读全文

安全文章

漏洞利用 | jmx协议攻击方式

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！在工作中遇到了jmx未授权的漏洞，此前没遇到过，遂在网上找了资料，在本地搭...

09月12日60 views评论

阅读全文

安全文章

某中间件反序列化链曲折调试

一、前言朋友找我一起调试宝蓝德中间件的发序列化漏洞，经过朋友一起的努力调试：使用断点、重写java文件等多种手段进行序列化生成字节码，最后改Rhino2的链构造成功。二、曲折的反序列化链调试已知宝蓝德...

09月03日189 views评论

阅读全文

安全文章

ysoserial-调试分析

前言本篇文章分析调试的是URLDNS以及CommonCollections系列 URLDNSURLDNS作为ysoserial系列最基础的链，作用还是蛮大的.具体作用如下：判断当前环境是否存在反序列...

08月18日9 views已关闭评论

阅读全文

安全漏洞

金蝶云星空反序列化远程代码执行漏洞复现

漏洞原理由于金蝶云星空管理中心在处理序列化数据时，未对数据进行签名或校验，攻击手可以写入包含恶意代码的序列化数据，系统在进行反序列化时造成远程命令执行，该“管理中心“是提供给管理员使用的管理端，默认...

08月15日109 views评论

阅读全文

代码审计

FastJson1&FastJson2反序列化利用链分析

前言写这篇文章的起因是在二开ysoserial的时候突然发现在Y4er师傅的ysoserial当中有两条关于FastJson的利用链，分别是FastJson1&FastJson2但是这两条利...

08月05日37 views评论

阅读全文

安全文章

log4j漏洞攻略

网络测绘app="Log4j2"CVE-2017-5645漏洞描述Apache Log4j是一个用于Java的日志记录库，其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本...

07月29日20 views评论

阅读全文

代码审计

CVE-2024-32030 Scala反序列化链分析

前言 Kafka UI是Apache Kafka管理的开源Web UI。Kafka UI API允许用户通过指定网络地址和端口连接到不同的Kafka brokers。作为一个独立的功能，它还提供了通过...

07月19日32 views评论

阅读全文

代码审计

Shiro有key但无回显利用链子-JRMP大法

注：仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他...

07月03日110 views评论

阅读全文

安全闲碎

[翻译]Apache Kafka UI 中的远程代码执行 ( CVE-2023-52251、CVE-2024-32030)

本译文首发于先知社区，原文地址：‍‍‍‍‍https://xz.aliyun.com/t/14923英文原文地址：https://securitylab.github.com/advisories/G...

06月29日45 views评论

阅读全文

ysoserial中的URLDNS分析

金蝶云星空远程代码执行漏洞 POC

Apache Ofbiz漏洞合集

漏洞利用 | jmx协议攻击方式

某中间件反序列化链曲折调试

ysoserial-调试分析

金蝶云星空反序列化远程代码执行漏洞复现

FastJson1&FastJson2反序列化利用链分析

log4j漏洞攻略

CVE-2024-32030 Scala反序列化链分析

Shiro有key但无回显利用链子-JRMP大法

[翻译]Apache Kafka UI 中的远程代码执行 ( CVE-2023-52251、CVE-2024-32030)

在线咨询

微信