Fastjson <=1.2.62 遠程代碼執行-漏洞復現
影響范圍: Fastjson<=1.2.62 需要開啟autotype poc: pom.xml: tips:這里需要另外導入jar包才能測試 該黑名 ...
花費 20 ms
java反序列化-ysoserial-調試分析總結篇(1)
前言: ysoserial很強大,花時間好好研究研究其中的利用鏈對於了解java語言的一些特性很有幫助,也方便打好學習java安全的基礎,剛學反序列化時就分析過commoncollections,但 ...
CVE-2020-7961 Liferay Portal 復現分析
漏洞說明: Liferay是一個開源的Portal(認證)產品,提供對多個獨立系統的內容集成,為企業信息、流程等的整合提供了一套完整的解決方案,和其他商業產品相比,Liferay有着很多優良的特性, ...
利用shiro反序列化注入冰蠍內存馬
# 利用shiro反序列化注入冰蠍內存馬 文章首發先知社區:https://xz.aliyun.com/t/10696 一、shiro反序列化注入內存馬 1)tomcat filter內存馬 先 ...
Shiro RememberMe 1.2.4遠程代碼執行漏洞-詳細分析
本文首發於先知: https://xz.aliyun.com/t/6493 0x01.漏洞復現 環境配置 https://github.com/Medicean/VulApps/tree/ma ...
一步一步學習FastJson1.2.47遠程命令執行漏洞
本文首發於先知:https://xz.aliyun.com/t/6914 漏洞分析 FastJson1.2.24 RCE 在分析1.2.47的RCE之前先對FastJson1.2.24版本中的R ...
fastjson 1.2.24反序列化導致任意命令執行漏洞分析記錄
環境搭建: 漏洞影響版本: fastjson在1.2.24以及之前版本存在遠程代碼執行高危安全漏洞 環境地址: https://github.com/vulhub/vulhub/tree/ma ...
關於JDK高版本下RMI、LDAP+JNDI bypass的一點筆記
1.關於RMI 只啟用RMI服務時,這時候RMI客戶端能夠去打服務端,有兩種情況,第一種就是利用服務端本地的gadget,具體要看服務端pom.xml文件 比如yso中yso工具中已經集合了很多g ...
Java XXE漏洞典型場景分析
本文首發於oppo安全應急響應中心: https://mp.weixin.qq.com/s?__biz=MzUyNzc4Mzk3MQ==&mid=2247485488&idx=1&a ...
Fastjson1.2.68 繞Autotype的一點總結
這篇文章主要總結學習目前網上關於1.2.68下繞過Autotype的一些方法用到的思路。 前置知識: checkautotype因為是對要進行反序列化的類進行檢測的方法 所以我們只需要 ...