记某cms的漏洞挖掘之旅

‍‍点击上方 关注我们任意文件写入这个 cms 是基于 thinkphp5.1 的基础开发的，一般我们挖 cms 如果想 rce 的话，可以在 application 文件夹直接搜索file_put_…

 合天网安实验室 2021-03-24 11:06:14

6,084 0 0

jackson-databind 多个反序列化漏洞CVE-2020-36179-36189

1. 通告信息2021年1月07日，安识科技A-Team团队监测到jackson-databind官方发布安全通告，通报了 jackson-databind的多个反序列化漏洞。FasterX…

 安识科技 2021-01-08 18:29:28

7,797 0 0

漏洞情报｜Jackson-databind反序列化漏洞风险通告（CVE-2020-35490，CVE-2020-35491)

2020年12月18日，腾讯云安全运营中心监测到，FasterXML Jackson-databind官方发布安全通告，披露Jackson-databind < 2.9.10.8存在反…

 云鼎实验室 2020-12-18 13:52:45

5,793 0 0

Apache Dubbo反序列化漏洞

简介Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架，使得应用可通过高性能的RPC实现服务的输出和输入功能，可以和Spring框架无缝集成。它提供了三大核心能力：面向接口的远程方法调用，智能容错…

 合天网安实验室 2020-11-26 14:58:19

4,711 0 0

精通PHP序列化与反序列化之“道”

这是 酒仙桥六号部队 的第 28 篇文章。全文共计3952个字，预计阅读时长12分钟。什么是序列化和反序列化序列化：将对象转换成一个字符串，PHP序列化函数是:…

 酒仙桥六号部队 2020-08-26 15:07:43

6,385 0 0

Apache Dubbo远程代码执行漏洞CVE-2020-11995

1 Apache Dubbo组件介绍ApacheDubbo是一款高性能、轻量级的开源javaRpc分布式服务框架。核心功能有面向接口的远程过程调用、集群容错和负载均衡、服务自动注册与发现。其特点主要在…

 Further_eye 2020-08-19 9:38:15

6,169 0 1

WebLogic 反序列化漏洞(CVE-2019-2890)分析

漏洞简介2019年10月16日，WebLogic官方发布了安全补丁公告，修复了包含CVE-2019-2890等高危漏洞。Weblogic在利用T3协议进行远程资源加载调用时，默认会进行黑名单过滤以保证…

 GalaxyLab 2019-11-01 17:22:44

6,376 0 5

Weblogic XMLDecoder 反序列化漏洞复现（CVE-2017-10271）

简介Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞（CVE-2017-10271）由于XMLDecoder 存在反序列化漏洞 ，导致…

 Dem0ns 2019-10-28 17:18:59

8,077 1 4

.NET高级代码审计（第十一课） LosFormatter反序列化漏洞

0x00 前言LosFormatter一般也是用于序列化和反序列化Web窗体页的视图状态(ViewState)，如果要把ViewState 通过数据库或其他持久化设备来维持，则需要采用特定的 LosF…

 Ivan1ee 2019-04-24 14:22:36

7,211 1 8

.NET高级代码审计（第十课） ObjectStateFormatter反序列化漏洞

0x00 前言ObjectStateFormatter一般用于序列化和反序列化状态对象图，如常用的ViewState就是通过这个类做序列化的，位于命名空间 System.Web.UI，优点在…

 Ivan1ee 2019-04-18 16:37:32

6,591 0 3

.NET高级代码审计（第九课） BinaryFormatter反序列化漏洞

0x00 前言BinaryFormatter和SoapFormatter两个类之间的区别在于数据流的格式不同，其他的功能上两者差不多，BinaryFormatter位于命名空间 System…

 Ivan1ee 2019-04-17 14:46:03

6,039 1 3

.NET高级代码审计（第三课）Fastjson反序列化漏洞

0X00 前言Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本，而在.Net领域也有一个Fastjson的库，作者官宣这是一个读写Json效率最高的的.Net 组件，使用内置方…

 Ivan1ee 2019-03-13 14:07:53

7,572 0 2

Window应急响应（四）：挖矿病毒

0x00 前言随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿，具体现象为电脑CPU占用率高，C盘可使用空间骤降，电脑温度升高，风…

 Bypass007 2019-03-11 10:50:47

7,838 1 3

如何快速使用伏特自检WebLogic安全漏洞

科普下黑产攻击者自动化徐玉玉学费被骗致死，比特币勒索病毒WannaCry全球爆发，网站木马造成信用卡被盗刷……近年来，因网络漏洞导致的恶性安全事件时有发生，影响到人们生活的方方面面。同时，蠕虫病毒、勒…

 安识科技 2017-12-23 10:24:24

8,314 0 6