互动
最近评论
A1
stonewu
感谢博主,崩溃转储文件的堆栈跟踪得到的反汇编看到是内存读写,可否贴以下导致崩溃那个地址前的反汇编代码呀,可以验证是否是申请一个结构体/对象的返回地址。
标签
寻找感兴趣的领域
文章
蓝凌OA漏洞利用总结
网络安全漏洞 未读
蓝凌OA漏洞利用总结
基本介绍: 蓝凌是国内数字化办公专业服务商, 也是国内知名的大平台OA服务商, 为国内众多中大型组织企业提供数字化办公服务。蓝凌OA(EKP) 在近年来爆出许多大大小小的安全漏洞, 也是红蓝队重点关注的OA系统之一, 本文总结了蓝凌OA历史上的前台漏洞和一些后渗透思路, 后续不定期对蓝凌OA的相关历
技术分享 漏洞
Java-removeSemicolonContentInternal分析
网络安全 未读
Java-removeSemicolonContentInternal分析
0x01 创建 创建一个maven,这里的jdk版本应设置1.8 设置pom.xml <dependencies> <dependency> <groupId>javax.servlet</groupId> <artifactId>javax.servlet-api
技术分享
Java反序列化漏洞浅析与应对
网络安全 未读
Java反序列化漏洞浅析与应对
一、摘要 Java语言由于具有可移植性高及完全面向对象的特点,在各种领域都得到了广泛的应用,例如WebLogic、Jenkins、OpenNMS等组件或中间件都基于Java进行开发。所以,这也导致基于Java的组件或中间件成为黑客重点攻击的对象,其中利用Java的反序列化机制发起的远程命令执行攻击利
技术分享 团队笔记
Linux提权之rbash绕过
网络安全 未读
Linux提权之rbash绕过
RBASH 绕过 什么是 RBASH RBASH 是 Restricted BASH 的缩写,意思是受限制的 BASH。 RBASH 是一种特殊的 shell,它限制了用户的一些操作和权限,例如: 不能使用 cd 命令来改变当前目录。 不能使用 set 命令来改变环境变量或 shell 选项。 <
渗透测试
Web Service安全技术概览
网络安全 未读
Web Service安全技术概览
基本介绍 Web Service也被称之为"XML Web Service",它是一种跨语言和跨平台的远程调用(RPC)技术,主要通过使用标准的Internet协议来提供和接收数据的方式,允许不同的应用程序在不同的平台和编程语言之间进行通信,Web Service通常使用基于标准的XML(可扩展标记
技术分享 团队笔记
避免DateTimeParseException异常的详细说明与解决方法
网络安全 未读
避免DateTimeParseException异常的详细说明与解决方法
在Java中,使用java.time.LocalDate或其他日期时间类解析字符串时,如果字符串的格式与指定的或默认的格式不匹配,会抛出DateTimeParseException异常。 为什么会出现DateTimeParseException异常? DateTimeParseException是J
技术分享
集群安全之Privileged特权模式逃逸
网络安全 未读
集群安全之Privileged特权模式逃逸
文章前言 当容器启动加上--privileged选项时,容器可以访问宿主机上所有设备,而K8s配置文件如果启用了"privileged: true"也可以实现挂载操作 前置知识 Security Context(安全上下文),用于定义Pod或Container的权限和访问
技术分享
VMP源码分析:反调试与绕过方法
网络安全 未读
VMP源码分析:反调试与绕过方法
vmp反调试相关源码部分 1.1 如何检索反调试源码 我们都知道,当vmp检测到被调试,会有如下弹框。
技术分享
Java中含有泛型的 JSON 反序列化问题
网络安全 未读
Java中含有泛型的 JSON 反序列化问题
一、背景 今天无聊之余提了一个问题,涉及的示例大致如下: public static void main(String[] args) { String jsonString = "[\"a\",\"b\"]"; List<String> list = JSONObject.par
反序列化
Java反序列化中jndi注入的高版本jdk绕过
团队笔记网络安全 未读
Java反序列化中jndi注入的高版本jdk绕过
jndi注入原理: JNDI(Java Name and Dictionary Interface Java名称与目录接口),一套JavaEE的标准,类似Windows注册表。 结构如下: key:路径+名称 value:存的数据(在jndi中存的是对象Object) jndi是java用于访问目录
技术分享
oneshell 加密反弹shell生成器(仅使用echo和chmod命令)
网络安全 未读
oneshell 加密反弹shell生成器(仅使用echo和chmod命令)
oneshell 工作原理 假设你已经在目标机器上实现了远程代码执行,并且正在寻找提升权限的方法。你可能考虑建立一个反向shell来简化这个过程。然而,作为一名安全专业人士,你希望连接是加密的,以防止数据传输不安全。 事实证明,有几种方法可以做到这一点,主要涉及到openssl或ncat工具。但如果
脚本 工具
构造java探测class反序列化gadget
网络安全 未读
构造java探测class反序列化gadget
背景 你是否遇到过这样的情况,黑盒环境下有一个序列化入口。你将ysoserial所有gadget的测试了一遍,均无法RCE。由于没有报错信息,你根本无法确定是下面那个原因导致。 1. 没有gadget依赖的jar 2. suid不一致 3. jar版本不在漏洞版本
反序列化
反序列化-CC2
网络安全 未读
反序列化-CC2
前言 3.1-3.2.1版本中TransformingComparator并没有去实现Serializable接口,是不可以被序列化的,所以我们重新搭建一个4.0的具有漏洞的CC环境 CC2链主要过程和CC4一样,但是区别在于CC2避免了使用Transformer数组,没有使
反序列化 技术分享
Java中序列化与反序列化---static字段
网络安全 未读
Java中序列化与反序列化---static字段
1、概述 在Java中,静态字段(static fields)是与类本身相关联的,而不是与类的任何特定实例相关联。这意味着静态字段在类加载时初始化,并且在整个应用程序的生命周期内保持一个唯一的副本。 2、静态字段的特性 2.1、与类相关联 静态字段是在类加载时初始化的,而不是在实例化对象时初始化的。
反序列化
weblogic XMLDecoder反序列化
网络安全 未读
weblogic XMLDecoder反序列化
一、历史 某次实战中在内网看到了weblogic,是存在XMLDecoder的低版本,早几年是易于利用的入口。现在经过多轮整改,已经很难见到,偶尔在内网中还能看到它(当然很大可能是蜜罐)。 正常情况下访问这两个路由就能看出来。 /_async/AsyncResponseService /wls-
反序列化
你好啊!我是
狼目安全
文章数 :
472
访问量 :
47741
建站天数 :
2023-08-05
最新评论
最近发布
QQ交流群
QQ交流群
【反诈专题】防范于心,防诈于行——防诈骗安全知识宣传
【反诈专题】防范于心,防诈于行——防诈骗安全知识宣传
数字取证工具列表集合 Forensics tools
数字取证工具列表集合 Forensics tools
OpenWrt LuCi 任意文件读取
OpenWrt LuCi 任意文件读取
使用 eBPF 捕获无需 CA 证书的 SSL/TLS 文本内容
使用 eBPF 捕获无需 CA 证书的 SSL/TLS 文本内容
DDoSecrets 推出大型“泄密库”搜索引擎
DDoSecrets 推出大型“泄密库”搜索引擎
移动安全框架 (MobSF) 存在存储型XSS漏洞 CVE-2024-53999
移动安全框架 (MobSF) 存在存储型XSS漏洞 CVE-2024-53999
Wordpress ElementorPageBuilder插件存在文件读取漏洞CVE-2024-9935
Wordpress ElementorPageBuilder插件存在文件读取漏洞CVE-2024-9935
Lorex 2K 安全摄像头存在五个漏洞-可让黑客完全控制
Lorex 2K 安全摄像头存在五个漏洞-可让黑客完全控制
JeecgBoot SQL注入漏洞CVE-2024-48307
JeecgBoot SQL注入漏洞CVE-2024-48307
分类
引用到评论
随便逛逛 博客分类 文章标签