java反序列化

y06_z4 个月前
java·java反序列化·cc6
CC6利用链分析CC1的两条利用链,在JDK 8u71之后已修复,不可利用。学一下不受版本限制的CC6利用链Commons Collections 3.2.1
Z3r4y8 个月前
java·web·ctf·java反序列化·hessian反序列化·hessianonlyjdk·原生jdk
【Web】浅聊Hessian反序列化原生jdk利用与高版本限制绕过目录前言原理分析EXPHessian2 低版本直接Runtime命令执行Hessian2 高版本利用Unsafe加载恶意字节码+二次调用触发初始化
Z3r4y8 个月前
java·spring·web·ctf·java反序列化·hessian·hessian反序列化
【Web】浅聊Hessian反序列化之打Spring AOP——JNDI目录前言简单分析EXP前文:【Web】浅聊Java反序列化之Rome——关于其他利用链-CSDN博客前文里最后给到一条HotSwappableTargetSource利用链,就是我们今天PartiallyComparableAdvisorHolder链子的前半段(触发恶意类的toString方法),故不再赘述。
Z3r4y8 个月前
java·web·ctf·java反序列化·反序列化·ciscn·deserbug
【Web】记录CISCN2023国赛初赛DeserBug题目复现目录前言分析step0step1step2EXP总结Hessian的链子审得有点疲劳,不如做做题吧,挑了国赛入手,整体做下来感觉十分丝滑&水到渠成,自然&通透。
Z3r4y8 个月前
java·web·ctf·java反序列化·反序列化·c3p0·c3p0反序列化
【Web】浅聊Java反序列化之C3P0——JNDI注入利用目录简介原理分析EXP前文:【Web】浅聊Java反序列化之C3P0——URLClassLoader利用
Z3r4y8 个月前
java·spring·web·ctf·java反序列化·反序列化·spring2链
【Web】浅聊Java反序列化之Spring2链——两层动态代理目录简介简话JdkDynamicAopProxy关于target的出身——AdvisedSupport
Z3r4y8 个月前
java·web·ctf·java反序列化·反序列化·rome·rome反序列化
【Web】浅聊Java反序列化之Rome——关于其他利用链目录前言JdbcRowSetImpl利用链BasicDataSource利用链Hashtable利用链
Z3r4y8 个月前
java·web·ctf·java反序列化·cc链·cc2
【Web】Java反序列化之CC2——commons-collections4的新链之一目录关于commons-collections4一个重要的思维模型触发Transform的关键类:TransformingComparator
Z3r4y9 个月前
java·tomcat·web·ctf·java反序列化·反序列化·ctfshow
【Web】CTFSHOW java反序列化刷题记录(部分)目录web846web847web848web849web850web856web857web858直接拿URLDNS链子打就行
过期的秋刀鱼-1 年前
安全·web安全·网络安全·java反序列化
渗透测试漏洞原理之---【不安全的反序列化】为什么要序列化?序列化,“将对象的状态信息转换为可以存储或传输的形式的过程”,这种形式⼤多为字节流、字符串、json 串。在序列化期间内,将对象当前状态写⼊到临时或永久性的存储区。以后,就可以通过从存储区中读取或还原(反序列化)对象的状态,重新创建该对象。简单的说,序列化就是把⼀个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台安全的进⾏通信。
末 初1 年前
java·java反序列化·cc链
【学习笔记】Java安全之反序列化最近在学习Phith0n师傅的知识星球的Java安全漫谈系列,随手记下笔记