浅谈Java反序列化漏洞 12 May, 2022 行业新闻 本篇文章参考P神知识星球的《Java漫谈》系列文章,有条件的可以为p牛充电!(星球名:代码审计,我已经冲了)然后推荐想初步理解java反序列化、并且深度了解一两个利用链的萌新,一步一步... Read More
从一道题看PHP反序列化字符串溢出 07 May, 2022 行业新闻 题目地址:http://www.bmzclub.cn/challenges#file-vault 01目录扫描分析代码 这是一道很好反序列化字符串溢出的题目,首先打开容器看到这是一个上传点 先进行目录扫描,发现存在... Read More
Windows Event Viewer事件查看器一个有趣的.NET反序列化问题 28 Apr, 2022 行业新闻 问题概述近日Orange发布Windows Event Viewer事件查看器存在一个不安全的反序列化隐患:虽然不会带来直接的安全问题,但是可以尝试用来实现Defender bypass或者UAC bypass。问... Read More
java序列化与反序列化 14 Apr, 2022 行业新闻 最近抽空回顾了下java的序列化和反序列化,觉得之前了解的很浅显,索性对底层代码做了些分析。看了些师傅的文章,把笔记整理了下。个人觉得还可以。序列化与反序列化java序列化指... Read More
红队第1篇:weblogic9.x在JDK1.5下T3反序列化漏洞利用方法 by:ABC_123 12 Apr, 2022 行业新闻 Part1前言年前在一次攻防比赛过程中,遇到了一个9.x版本的weblogic中间件,是非常老版本的Weblogic了,现有的各种漏洞利用工具都没能拿下权限,考虑到之前也曾经遇到过好几次了,于是... Read More
实战|某网站shiro反序列化漏洞的渗透过程 22 Feb, 2022 行业新闻 打进内网以后的过程没有继续深入搞,具体原因大家懂的,前期打点,开始的想法是爆破个弱口令的,弱口令爆破一圈没有找到有用的账户,返回包存在 :Set-Cookie: rememberMe=deleteMe; 参... Read More