pickle与序列化和反序列化 官方文档 模块 pickle 实现了对一个 Python 对象结构的二进制序列化和反序列化。 "pickling" 是将 Python 对象及其所拥有的层次结构转化为一个字节流的过程，而 "unpickling" 是相反的操作，会将（来自一个 binary ...

前言 在XCTF高校战疫之中，我看到了一道pickle反序列化的题目，但因为太菜了花了好久才做出来，最近正好在学flask，直接配合pickle学一下。 找了半天终于找到一个大佬，这里就结合大佬的文章写一下。 目录： Pickle的简单介绍 pickletools ...

0x01.java RMI 如上图所示，在JVM之间通信时，客户端要调用远程服务器上的对象时，并不是直接将远程对象拷贝到本地，而是通过传递一个stub。 其中stub就包含 ...

的，当使用fastjson解析json时，会自动调用其属性的get方法。 TypeUtil.clss 8 ...

poc如下，dataSourceName 为rmi://localhost:1090/evil: RMIServer代码如下： 调试过程如下： 加载com.sun.rowset.Jdb ...

Fastjson 远程代码扫描漏洞复现 环境搭建 1）反序列化攻击工具源码下载：https://github.com/mbechler/marshalsec 使用maven命令：mvn clean package -DskipTests 编译成.jar文件 启动(默认端口1389 ...

目录 前言 一、环境搭建和知识储备 1.1、影响版本 1.2、Docker搭建环境 二、复现过程 2.1、fastjson1.2.24 2.2、fastjson1.2.47 前言 ...

最近为了换一份新工作，准备了不少笔试题。从笔试当中自己发现了不少基础知识的盲点。很庆幸这样的机会，可以让自己对于基础知识的理解又上升一个台阶。此文介绍C#里面的序列化与反序列化的知识，如果你是大鸟，请口下留情。 首先，什么是序列化与反序列化呢？ 序列化就是将对象的状态信息转换 ...