Jboss、Websphere和weblogic的反序列化漏洞已经出来一段时间了，还是有很多服务器没有解决这个漏洞； 反序列化漏洞原理参考：JAVA反序列化漏洞完整过程分析与调试 这里参考了网上的 Java反序列化工具 - Java Deserialization Exp Tools ...

1、首先下载常用的工具ysoserial 这边提供下载地址：https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-gb617b7 ...

摘要：在本文中将先介绍java反序列化漏洞的原理，然后在此基础上介绍安全工具如何检测、扫描此类漏洞。 本文分享自华为云社区《java反序列化漏洞及其检测》，作者： alpha1e0。 1 java反序列化简介 java反序列化是近些年安全业界研究的重点领域之一，在Apache ...

JAVA反序列化漏洞基础原理 1.1 什么是序列化和反序列化？ Java序列化是指把Java对象转换为字节序列的过程； Java反序列化是指把字节序列恢复为Java对象的过程； 1.2 为什么要序列化 对象不只是存储在内存中，它还需要在传输网络中进行传输，并且保存起来之后下次再加 ...

零、Java反序列化漏洞 　　java的安全问题首屈一指的就是反序列化漏洞，可以执行命令啊，甚至直接getshell，所以趁着这个假期好好研究一下java的反序列化漏洞。另外呢，组里多位大佬对反序列化漏洞都有颇深的研究，借此机会，努力学习，作为狼群中的哈士奇希望成功的继续伪装下去，不被识破 ...

目录 信息收集 poc 参考 信息收集 poc /tmp/payload.cookie 替换发包的rememberMe=X 参考 h ...

验证身份的请求时，Shiro将会对RememberMe解码，解密，反序列化以读取用户身份，问题出在Sh ...

本文首发于“合天智汇”公众号 作者：Fortheone 前言 最近学习java反序列化学到了weblogic部分，weblogic之前的两个反序列化漏洞不涉及T3协议之类的，只是涉及到了XMLDecoder反序列化导致漏洞，但是网上大部分的文章都只讲到了触发XMLDecoder部分就结束 ...