网络安全
未读
Java中含有泛型的 JSON 反序列化问题
一、背景 今天无聊之余提了一个问题,涉及的示例大致如下: public static void main(String[] args) {
String jsonString = "[\"a\",\"b\"]";
List<String> list = JSONObject.par
网络安全
未读
构造java探测class反序列化gadget
背景 你是否遇到过这样的情况,黑盒环境下有一个序列化入口。你将ysoserial所有gadget的测试了一遍,均无法RCE。由于没有报错信息,你根本无法确定是下面那个原因导致。 1. 没有gadget依赖的jar 2. suid不一致 3. jar版本不在漏洞版本
网络安全
未读
Java中序列化与反序列化---static字段
1、概述 在Java中,静态字段(static fields)是与类本身相关联的,而不是与类的任何特定实例相关联。这意味着静态字段在类加载时初始化,并且在整个应用程序的生命周期内保持一个唯一的副本。 2、静态字段的特性 2.1、与类相关联 静态字段是在类加载时初始化的,而不是在实例化对象时初始化的。
网络安全
未读
weblogic XMLDecoder反序列化
一、历史 某次实战中在内网看到了weblogic,是存在XMLDecoder的低版本,早几年是易于利用的入口。现在经过多轮整改,已经很难见到,偶尔在内网中还能看到它(当然很大可能是蜜罐)。 正常情况下访问这两个路由就能看出来。
/_async/AsyncResponseService
/wls-
漏洞
未读
JAVA反序列化漏洞-ysoserial-URLDNS链分析
一、前言 对于进行反序列化漏洞原理的学习,URLDNS这条链比较好理解,对后续学习打个基础,URLDNS也是经常用于验证Java反序列化漏洞是否存在,验证服务主机是否出网等情况,为了后期进一步有效性的利用。让我们开始学习吧!
网络安全
未读
Java代码审计---反序列化
序列化 序列化主要是将一个java对象转换为二进制字节流的过程,在学习反序列化之前,首先来学习一下序列化是什么,怎么进行,知其然,知其所以然。 序列化首先需要注意一下几点 实现 Serializable 接口:序列化的对象必须要实现Serializable接口,这个接口是一个标记接口,没有任何方法,
漏洞
未读
万户协同办公平台 ezEIP success接口存在反序列化漏洞
免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与本平台和发布者无关!!! POC(Yaml&Python) 话不多说先上POC(Yam-poc由yakit或ProjectDiscovery C
漏洞
未读
致远M3-server反序列化RCE漏洞复现
免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与本平台和发布者无关!!! 漏洞名称 致远M3-server 6_1sp1 反序列化RCE漏洞 <
漏洞
未读
OneBlog博客Shiro反序列化远程命令执行漏洞
免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与本平台和发布者无关!!! 漏洞名称 OneBlog博客Shiro反序列化远程命令执行漏洞
漏洞
未读
[漏洞复现] CVE-2023-38203
免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与本平台和发布者无关!!! 漏洞名称 Adobe ColdFusion 反序列化漏洞
漏洞
未读
畅捷通T+ RRATableController,Ufida.T.DI.UIP.ashx 反序列化RCE漏洞
免责申明:本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与本平台和发布者无关!!! 漏洞名称 畅捷通T+ RRATableController,Ufida.T.DI.UIP.ashx 反序列化RCE漏洞