本文首发于“合天智汇”公众号 作者：Fortheone 前言 最近学习java反序列化学到了weblogic部分，weblogic之前的两个反序列化漏洞不涉及T3协议之类的，只是涉及到了XMLDecoder反序列化导致漏洞，但是网上大部分的文章都只讲到了触发XMLDecoder部分就结束 ...

Java审计之CMS中的那些反序列化漏洞 0x00 前言 过年这段时间比较无聊，找了一套源码审计了一下，发现几个有意思的点拿出来给分享一下。 0x01 XStream 反序列化漏洞 下载源码下来发现并不是源代码，而是一个的文件夹，里面都已经是编译过的一个个class文件。 在一个微信回调 ...

Java安全之Fastjson反序列化漏洞分析 首发：先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础。利于后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，还需要学习一些Fastjson库的简单使用 ...

序列化是Java提供的一种对象持久化保存的技术。常规对象在程序结束后会被回收，如果想把对象持久保存方便下次使用，需要序列化和反序列化。 序列化有两个前提： 类必须实现java.io.serializable接口 类所有字段都必须是可序列化的 反序列化漏洞利用原理 1. ...

相关学习资料 目录 背景 　　2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客，阐述了利用Java反序列化和Apache Commons Collections这一基础类库实现远程命令执行 ...

一、漏洞描述: 近期，反序列化任意代码执行漏洞持续发酵，越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台，存在Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞， WebLogic、IBM ...

团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞，来攻击最新版的WebLogi ...

本文首发自https://www.secpulse.com/archives/95012.html，转载请注明出处。 前言 什么是序列化和反序列化 Java 提供了一种对象序列化的机制，该机制中，一个对象可以被表示为一个字节序列，该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中 ...