Java反序列化回显学习（一）

前言在测试某反序列化漏洞，可以通过URLDNS链确定漏洞是否存在但在利用时遇到了困难，相关利用链可以执行系统命令却无法得到回显。因此需要在此基础修改利用链达到命令回显得目的，下边记录的即是此次修改的过…

 TideSec 2023-03-14 15:51:29

9,323 0 2

靶场攻略 | php反序列化靶机实战

本文作者：eth10（贝塔安全实验室-核心成员）0x01：靶机下载地址https://www.vulnhub.com/entry/serial-1,349/，如何搭建靶机，请自行百度！0x02：存活扫…

 贝塔安全实验室 2023-02-17 17:32:51

7,221 0 4

MySQL jdbc 反序列化分析

0x01 前言听师傅们说这条链子用的比较广泛，所以最近学一学，本来是想配合着 tabby 或是 codeql 一起看的，但是 tabby 的环境搭建一直有问题，耽误了很久时间，所以就直接看了0x02 …

 蚁景网安实验室 2023-02-02 11:33:44

11,215 0 0

PHP反序列化新手入门学习总结

最近写了点反序列化的题，才疏学浅，希望对CTF新手有所帮助，有啥错误还请大师傅们批评指正。php反序列化简单理解首先我们需要理解什么是序列化，什么是反序列化？PHP序列化：serialize()序列化…

 蚁景网安实验室 2023-01-28 16:03:44

12,649 0 3

第五届安洵杯 WriteUp by Mini-Venom

Webbabyphp解题思路题目给了源代码：// index.php<?php//something in flag.phpclass A{ &…

 ChaMd5安全团队 2022-11-29 16:43:49

14,056 0 5

【Java安全指北】1、序列化与反序列化杂谈

0x1 前言在拖延了几天之后，这个系列终于算正式开启了，Java安全目前的热门程度可以说是红队必知必会，我曾一度陷入开始学Java安全-学CC链-放弃-再次开始学习Java安全的怪圈，好比背单词始终都…

 白袍 2022-09-06 17:42:24

11,788 0 4

基于某商产品WeblogicT3反序列化告警流量分析

声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。前言护网时平时遇到的针对weblogic等中间件漏洞利用以及漏洞扫描的很多，但是我看到…

 蚁景网安实验室 2022-07-14 10:51:20

11,823 0 2

实战 | .NET高级代码审计反序列化Gadget之ExpandedWrapper

0x01 背景ExpandedWrapper在XmlSerializer反序列化过程发挥了至关重要的作用，完美的扩展了两个泛型类且它的公开的属性可以存储投影结果，正是由于提供了这么多强大的功能才被反序…

 HACK_Learn 2022-06-27 16:15:52

38,252 0 3

初识Java反序列化

前言研究某产品反序列化EXP时，搜集到的POC只有一段16进制字节序列难以利用，遂有下文对Java序列化和反序列化的学习。大致内容如下：序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化…

 TideSec 2022-05-31 18:28:42

13,777 0 7

Ysoserial Commons-Collections 利用链分析

Commons-Collections1首先构造transformers反射链，调用ChainedTransformer方法封装transformers数组，串联三次反射。final Tra…

 Further_eye 2021-07-28 11:19:39

8,713 0 0