序列化共13篇
Python反序列化漏洞分析-60社区

Python反序列化漏洞分析

简介 Python的序列化和反序列化是将一个类对象向字节流转化从而停止存储和传输, 然后运用的时分再将字节流转化回原始的对象的一个过程, 这个和其他言语的序列化与反序列化其实都差不多. Python...
少羽.的头像-60社区钻石会员少羽.前天
0263613
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)-60社区

fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)

破绽简介 fastjson在解析json的过程中,支持运用autoType来实例化某一个详细的类,并调用该类的set/get办法来访问属性。经过查找代码中相关的办法,即可结构出一些歹意应用链。 浅显了解就是:...
少羽.的头像-60社区钻石会员少羽.前天
049212
老曲新唱之XXL-JOB未授权Hessian2反序列化调试分析-60社区

老曲新唱之XXL-JOB未授权Hessian2反序列化调试分析

XXL-JOB 未受权 Hessian2反序列化 0x00前言 前一段时间在一个红队项目中偶尔间发现了一个XXL-JOB,比拟老的一个洞了,搭建胜利后会有一个默许账号密码admin/123456写在文件中的。这不是重点,重...
少羽.的头像-60社区钻石会员少羽.3天前
07547
redis未授权到shiro反序列化-60社区

redis未授权到shiro反序列化

redis未受权到shiro反序列化 0x01 简介 在一次浸透测试的过程中发现6379端口上开着一个未受权的redis,尝试应用redis停止rce失败。又发现redis缓存了shiro的session,最终经过redis未受权配合sh...
少羽.的头像-60社区钻石会员少羽.9天前
19177
反序列化漏洞的防御与拒绝服务-60社区

反序列化漏洞的防御与拒绝服务

本文并没有太多干货,比拟水哈 最近两个月我不断在做回绝效劳破绽相关的时间,并收获了Spring和Weblogic的两个CVE(还有一些报告或许正在审核和修复中)但DoS破绽终归是鸡肋洞,并没有太大的意...
少羽.的头像-60社区钻石会员少羽.12天前
17098
laravel5.1反序列化-代码审计学习-60社区

laravel5.1反序列化-代码审计学习

前言 初次编写,请师傅们多多照顾,如有错误,请批判指正 0x00 准备 运用composer拉一个laravel5.1的环境 composer create-project --prefer-dist laravel/laravel laravel5.1 '5.1.*' 配置路由...
少羽.的头像-60社区钻石会员少羽.13天前
121577
Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)-60社区

Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)

简介 Dubbo是阿里巴巴公司开源的一个高性能优秀的效劳框架,使得应用可经过高性能的RPC完成效劳的输出和输入功用,能够和Spring框架无缝集成。     破绽概述 Apache Dubbo披露了Provi...
少羽.的头像-60社区钻石会员少羽.21天前
03910
XStream 反序列化漏洞复现CVE-2020-26258/26259-60社区

XStream 反序列化漏洞复现CVE-2020-26258/26259

简介 XStream基于Java库,是一种OXMapping 技术,用来处置XML文件序列化的框架,在将JavaBean序列化,或将XML文件反序列化的时分,不需求其它辅助类和映射文件,使得XML序列化不再繁琐。XStream...
少羽.的头像-60社区钻石会员少羽.21天前
03315
Weblogic IIOP反序列化漏洞复现CVE-2020-2551-60社区

Weblogic IIOP反序列化漏洞复现CVE-2020-2551

CVE-2020-2551远程代码执行破绽是Oracle官方2020年1月关键补丁更新的重要破绽。该破绽能够绕过Oracle官方在2019年10月份发布的平安补丁,攻击者能够经过IIOP协议远程访问Weblogic Server效劳器...
少羽.的头像-60社区钻石会员少羽.23天前
04914
JBoss 4.x JBossMQ JMS 反序列化漏洞 CVE-2017-7504-60社区

JBoss 4.x JBossMQ JMS 反序列化漏洞 CVE-2017-7504

破绽描绘 Red Hat JBoss Application Server 是一款基于JavaEE的开源应用效劳器。JBoss AS 4.x及之前版本中,JbossMQ完成过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件...
少羽.的头像-60社区钻石会员少羽.23天前
0356