Ysoserial Commons-Collections 利用链分析

Commons-Collections1首先构造transformers反射链，调用ChainedTransformer方法封装transformers数组，串联三次反射。final Tra…

 Further_eye 2021-07-28 11:19:39

5,771 0 0

通过几道CTF题学习yii2框架

简介Yii是一套基于组件、用于开发大型 Web 应用的高性能 PHP 框架，Yii2 2.0.38 之前的版本存在反序列化漏洞，程序在调用unserialize()时，攻击者可通过构造特定的恶意请求执…

 合天网安实验室 2021-06-18 16:40:10

6,896 0 2

通过几道CTF题学习Laravel框架

Laravel5.8.x反序列化POP链安装：其中--prefer-dist表示优先下载zip压缩包方式composer create-project --prefer-dist&…

 合天网安实验室 2021-06-17 17:05:44

4,759 0 1

java安全之fastjson链分析

前段时间有师傅来问了我fastjson的问题，虽然知道大概但没分析过具体链，最近有空了正好分析一下fastjson两个反序列化洞：1.2.22<=version<=1.2.241.2.25…

 合天网安实验室 2021-06-11 15:47:17

8,014 0 0

Laravel 8 反序列化分析

forwardlaravel的版本已经到了8；这里分析一个laravel8的反序列化漏洞，但是让我感到意外的是，这个漏洞竟然在低版本的laravel上依然可以存在，从根本来说这个漏洞是laravel的…

 合天网安实验室 2021-03-18 10:35:19

5,413 0 0

漏洞威胁分析报告（上册）- 不同视角下的漏洞威胁

前言刚刚过去的2020年以极具戏剧性的开场和魔幻现实主义的中章，给传统行业当头一棒，疫情的延伸早已超出了绝大部分人的预料。传统行业被迫转型；企业被迫选择线上办公；学校被迫开设网课。在经济体系运作如此困…

 Further_eye 2021-03-09 14:53:36

8,028 0 0

老赛棍寒假复习计划——反序列化篇（一）

本篇主要讲解过去一年来各大比赛中出现的比较典型的几个反序列化题目本文涉及相关实验：PHP反序列化漏洞实验 （通过本次实验，大家将会明白什么是反序列化漏洞，反序列化漏洞的成因以及如何挖掘和预防…

 合天网安实验室 2021-02-20 15:40:20

5,830 0 0

【组件攻击链】XStream组件高危漏洞分析与利用

组件介绍 XStream是Java类库，用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索，并不需要对对象作出修改。X…

 Further_eye 2020-12-01 10:38:37

4,999 0 0