ysoserial - 第 6 | CN-SEC 中文网

安全文章

CVE-2019-17564 Dubbo HTTP协议反序列化漏洞

Category: 漏洞实践Tags: Java,反序列化,漏洞影响范围2.7.0 <= Apache Dubbo <= 2.7.4.12.6.0 <= Apache Dubbo &...

08月05日36 views评论

阅读全文

安全工具

基于ysoserial的回显与内存马工具

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。现在只对常读和星标的公众号才展示大图推送，建议大家把...

08月02日62 views评论

阅读全文

安全文章

.NET ViewStates RCE 回显命令执行结果

0x01 工具分析 ysoserial 1.35版内置的ExploitClass.cs文件代码已做了很多更改，大约提供了创建WebShell、DNS请求、cmd执行系统命令、线程休眠10秒、写入Coo...

08月02日97 views评论

阅读全文

CTF专场

春秋云境——Delivery WriteUp

外网XStream打点拿到IP，对外网做信息搜集，外网的FTP允许匿名登录，FTP里有1.txt和pom.xml，1.txt是空的用mget命令下载文件：mget 1.txtmget pom.xmlp...

07月21日110 views评论

阅读全文

HW&HVV

攻防 | 某市级HVV攻防演练总结

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！前言正如今年的xx题目，学习应从本手开始，把基础打好，才能在实战中打出妙手操作，如果眼高手低，往往会落到俗手的下场这次攻防演练每个队伍分配不同...

07月12日76 views评论

阅读全文

安全文章

攻防演练|某市级HVV攻防演练总结

前言正如今年的xx题目，学习应从本手开始，把基础打好，才能在实战中打出妙手操作，如果眼高手低，往往会落到俗手的下场这次攻防演练每个队伍分配不同的目标，有些队伍拿的点可以直接 nday 打，有些队伍外网...

07月10日102 views评论

阅读全文

安全文章

畅捷通T+ 远程命令执行漏洞

漏洞简介用友畅捷通Tplus组件存在远程代码执行漏洞，漏洞威胁等级：高危，能造成远程代码执行。用友畅捷通Tplus存在前台远程代码执行漏洞，攻击者可利用GetStoreWarehouseByStore...

07月05日525 views评论

阅读全文

安全文章

.NET ViewState反序列化 (14) ysoserial版本差异

星球优惠活动为了更好地应对基于.NET技术栈的风险识别和未知威胁，dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术，定位于高质量安全攻防星球社区，也得到了许多师傅们的支持和信任，...

06月05日60 views评论

阅读全文

代码审计

『代码审计』ysoserial CC3 和 CC4 反序列化分析

→点击蓝字关注我们日期：2023-05-16作者：ICDAT介绍：这篇文章主要是对ysoserial中CC3和CC4的反序列化进行分析。0x00、前言前面我们分析了CC1和CC2的反序列化利用链，还...

05月17日21 views评论

阅读全文

代码审计

ysoserial - Gadget(二)

ysoserial - Gadget前言在分析反序列化工具ysoserial的时候参考一些文章，发现了一条全新的 URLDNS 链路，在此进行分析，重点并不仅在于这条链，也是尝试将反序列化链加入到工具...

05月15日67 views评论

阅读全文

代码审计

告别脚本小子系列丨JAVA安全(7)——反序列化利用链（中）

0x01 前言距离上一次更新JAVA安全的系列文章已经过去一段时间了，在上一篇文章中介绍了反序列化利用链基本知识，并阐述了Transform链的基本知识。Transform链并不是一条完整的利用链，只...

04月25日41 views评论

阅读全文

代码审计

『代码审计』TemplatesImpl 在 ysoserial cc2 中利用分析

点击蓝字，关注我们日期：2023-03-21作者：ICDAT介绍：这篇文章主要是对 ysoserial cc2 中 TemplatesImpl 的利用进行分析。0x00 前言上次我们对Template...

03月21日32 views评论

阅读全文

在线咨询

微信