pickle與序列化和反序列化 官方文檔 模塊 pickle 實現了對一個 Python 對象結構的二進制序列化和反序列化。 "pickling" 是將 Python 對象及其所擁有的層次結構轉化為一個字節流的過程，而 "unpickling" 是相反的操作，會將（來自一個 binary ...

前言 在XCTF高校戰疫之中，我看到了一道pickle反序列化的題目，但因為太菜了花了好久才做出來，最近正好在學flask，直接配合pickle學一下。 找了半天終於找到一個大佬，這里就結合大佬的文章寫一下。 目錄： Pickle的簡單介紹 pickletools ...

0x01.java RMI 如上圖所示，在JVM之間通信時，客戶端要調用遠程服務器上的對象時，並不是直接將遠程對象拷貝到本地，而是通過傳遞一個stub。 其中stub就包含 ...

的，當使用fastjson解析json時，會自動調用其屬性的get方法。 TypeUtil.clss 8 ...

poc如下，dataSourceName 為rmi://localhost:1090/evil: RMIServer代碼如下： 調試過程如下： 加載com.sun.rowset.Jdb ...

Fastjson 遠程代碼掃描漏洞復現 環境搭建 1）反序列化攻擊工具源碼下載：https://github.com/mbechler/marshalsec 使用maven命令：mvn clean package -DskipTests 編譯成.jar文件 啟動(默認端口1389 ...

目錄 前言 一、環境搭建和知識儲備 1.1、影響版本 1.2、Docker搭建環境 二、復現過程 2.1、fastjson1.2.24 2.2、fastjson1.2.47 前言 ...

最近為了換一份新工作，准備了不少筆試題。從筆試當中自己發現了不少基礎知識的盲點。很慶幸這樣的機會，可以讓自己對於基礎知識的理解又上升一個台階。此文介紹C#里面的序列化與反序列化的知識，如果你是大鳥，請口下留情。 首先，什么是序列化與反序列化呢？ 序列化就是將對象的狀態信息轉換 ...