Java反序列化回显学习之Tomcat通用回显

前言反序列化命令回显和内存马是反序列化漏洞的具体实现，在渗透过程中主要依靠这两种方式来获取目标权限。因此，这是在学习Java反序列化漏洞过程中绕不开的两个点。由于在实战中遇到的环境都是不可预测的，对于…

 TideSec 2023-05-24 14:02:15

12,824 0 1

红队-java代码审计生命周期

红队-java代码审计生命周期@深信服-华南天玄攻防战队-KBAT前言红队java代码审计生命周期中常见的一些漏洞学习总结以及一些审计思路。红队-java代码审计生命周期过程源码获取->审计环境…

 KB-AT 2022-12-20 11:31:26

18,786 0 4

【漏洞预警】Apache Dubbo Hession反序列化漏洞

1. 通告信息近日，安识科技A-Team团队监测到一则 Apache Dubbo组件存在Hession反序列化漏洞的信息，漏洞编号：CVE-2022-39198，漏洞威胁等级：高危。该漏洞是…

 安识科技 2022-10-20 17:49:13

14,425 0 27

ThinkPHP6.0.13反序列化漏洞分析

1.前言最近有点闲下来了，不找点事干比较难受，打算找点漏洞分析一下，于是就打算看看TP的一些漏洞，ThinkPHP6.0.13是TP的最新版，八月份有师傅提交了一个issue指出TP存在反序列化问题，…

 合天网安实验室 2022-10-10 14:20:15

8,032 0 2

实例解析Java反射

反射是大多数语言里都必不不可少的组成部分，对象可以通过反射获取他的类，类可以通过反射拿到所有方法（包括私有），拿到的方法可以调用，总之通过“反射”，我们可以将Java这种静态语言附加上动态特性。什么是…

 合天网安实验室 2022-09-16 17:30:03

13,813 0 0

实战 | 记一次从Flarum开始的RCE之旅

以下文章来源于跳跳糖社区 ，作者phith0n事先声明：本次测试过程完全处于本地或授权环境，仅供学习与参考，不存在未授权测试过程，请读者勿使用该漏洞进行未授权测试，否则作者不承担任何责任一次…

 HACK_Learn 2022-08-23 17:32:33

8,319 0 1

CVE-2020-27131 思科安全管理器反序列化漏洞 POC

简介思科安全管理器是一个企业级安全管理应用程序，可提供对思科安全和网络设备的了解和控制。 Cisco Security Manager在广泛的Cisco安全设备中提供全面的安全管理（配置和事件管理），…

 宽字节安全 2021-10-21 16:56:40

7,403 0 1

反序列化漏洞利用总结

反序列化无论在CTF比赛中，抑或是实战渗透中都起着重要作用，而这一直都是我的弱项之一，所以写一篇反序列化利用总结来深入学习一下<!-- more -->简单介绍（反）序列化只是给我们传递对…

 合天网安实验室 2021-07-30 14:06:28

6,057 0 0

网站被黑客攻击了怎么办？这些常见漏洞不得不防！

Web渗透测试中网站漏洞有哪些常见的典型漏洞。常见漏洞包括SQL注入漏洞、文件上传漏洞、目录遍历漏洞、文件包含漏洞、命令执行漏洞、代码执行漏洞、跨站点脚本(XSS)漏洞、SSRF漏洞、XML外部实体(…

 雨笋教育-丹丹 2021-06-16 11:17:12

5,741 0 0

记某cms的漏洞挖掘之旅

‍‍点击上方 关注我们任意文件写入这个 cms 是基于 thinkphp5.1 的基础开发的，一般我们挖 cms 如果想 rce 的话，可以在 application 文件夹直接搜索file_put_…

 合天网安实验室 2021-03-24 11:06:14

9,042 0 2

jackson-databind 多个反序列化漏洞CVE-2020-36179-36189

1. 通告信息2021年1月07日，安识科技A-Team团队监测到jackson-databind官方发布安全通告，通报了 jackson-databind的多个反序列化漏洞。FasterX…

 安识科技 2021-01-08 18:29:28

11,485 0 1

漏洞情报｜Jackson-databind反序列化漏洞风险通告（CVE-2020-35490，CVE-2020-35491)

2020年12月18日，腾讯云安全运营中心监测到，FasterXML Jackson-databind官方发布安全通告，披露Jackson-databind < 2.9.10.8存在反…

 YDclub 2020-12-18 13:52:45

9,319 0 3