ysoserial - 第 7 | CN-SEC 中文网

SecIN安全技术社区

AspectJWeaver利用链绕过serialKiller

AspectJWeaver利用链绕过serialKiller 1.serialKiller原理：通过重写ObjectInputStream 类中的resolveClass方法加入黑名单来限制反序列化...

03月12日85 views已关闭评论

阅读全文

代码审计

【Java代码审计】我的Java代码审计学习路线规划

近期，我将知识星球分享做了重构，现将学习路线设计成了六个大部分，这六个部分不仅注重夯实基础，更加专注实战进阶。知识星球通告原文：https://t.zsxq.com/03myrJEQv（已加入的星友记...

03月08日260 views评论

阅读全文

安全工具

JAVA安全|基础篇：实战java原生反序列化

申明：本公众号所有文章仅供技术交流，请自觉遵守网络安全相关法律法规，切勿利用文章内的相关技术从事非法活动，如因此产生的一切不良后果与文章作者无关0x00 前言 &nb...

02月21日80 views评论

阅读全文

代码审计

JAVA安全|Gadget篇：Ysoserial CB1链

0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识，构建自己的java知识体系，并实际地将java用起来，达到熟练掌握ja...

02月16日176 views评论

阅读全文

安全文章

实战 | JSON反序列化到RCE

介绍序列化是将某些对象转换为可以恢复的数据格式的过程。反序列化是从某种格式获取结构化数据，并将其重建为对象。如今用于序列化数据的最流行的数据格式是 JSON。反序列化漏洞是一种在反序列化您发送的数据的...

02月06日70 views评论

阅读全文

代码审计

『代码审计』TemplatesImpl 利用分析

点击蓝字关注我们日期：2023-02-03作者：ICDAT介绍：这篇文章主要是对反序列化漏洞中 TemplatesImpl 的利用进行分析。0x00 前言上一篇文章，我们对CC2进行分析的时候，发现...

02月03日67 views评论

阅读全文

安全工具

一款比ysoserial更高更快更强的反序列化工具

02月02日48 views评论

阅读全文

安全文章

【漏洞】- 攻击Java RMI的方式

前言通过学习RMI（Remote Method Invocation）远程方法调用的基本知识了解到，参与一次 RMI 调用的有三个角色，分别是 Server 端，Registry 端和 Client...

01月30日47 views评论

阅读全文

安全文章

JAVA安全|Gadget篇：LazyMap CC1链

0x00 前言 JAVA安全系列文章主要为了回顾之前学过的java知识，构建自己的java知识体系，并实际地将java用起来，达到熟练掌握ja...

01月07日57 views评论

阅读全文

安全文章

原创 | AspectJWeaver利用链绕过serialKiller

点击蓝字关注我们serialKiller原理通过重写ObjectInputStream 类中的resolveClass方法加入黑名单来限制反序列化的类，黑名单配置为serialkiller.confs...

12月21日42 views评论

阅读全文

安全文章

Weblogic常规漏洞复现合集

迟到的漏洞复现系列复现内容CVE-2017-10271 CVE-2018-2628 CVE-2018-2894 CVE-2020-14882和CVE-2020-14883ssrf以上复现均采用dock...

12月17日88 views评论

阅读全文

AspectJWeaver利用链绕过serialKiller

【Java代码审计】我的Java代码审计学习路线规划

推荐｜一款比ysoserial更高更快更强的反序列化工具

JAVA安全|基础篇：实战java原生反序列化

JAVA安全|Gadget篇：Ysoserial CB1链

实战 | JSON反序列化到RCE

『代码审计』TemplatesImpl 利用分析

一款比ysoserial更高更快更强的反序列化工具

【漏洞】- 攻击Java RMI的方式

JAVA安全|Gadget篇：LazyMap CC1链

原创 | AspectJWeaver利用链绕过serialKiller

Weblogic常规漏洞复现合集

在线咨询

微信