关注
分享
文章平均质量分 96
Java序列化是指把Java对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的writeObject()方法可以实现序列化。
一个想当文人的黑客
博主资源
需要如下资料和培训的可加微信和知识星球(前50名为邀请嘉宾) 知识星球号:9081196
1、全国职业技能大赛——信息安全管理与评估WP+环境
2、全国职业技能大赛——司法技术赛项WP+环境
3、CTF最新资料+相关工具(圈子交流)
4、SRC漏洞挖掘的大量原创报告
展开
-
WebLogic-XMLDecoder(CVE-2017-10271)反序列化漏洞分析及复现
下面的内容主要是给师傅们介绍和讲解下weblogic XMLDecoder漏洞,这个漏洞有很多个版本,有多个cve漏洞,这里我主要从基于IDEA和vulhun环境搭建来给师傅们复现下这个weblogic XMLDecoder漏洞。复现完成的师傅们,要是基础还可以,学过Java代码的可以尝试掌握下这个漏洞的POC构造,这个是底层代码原理,比较难,小白的话把漏洞原理以及漏洞复现完成即可!!!原创 2024-04-13 13:34:57 · 1623 阅读 · 0 评论 -
Weblogic任意文件上传漏洞(CVE-2018-2894)漏洞复现(基于vulhub)
这个任意文件上传CVE-2018-2894漏洞,Oracle公司在7月份修复,需要我们自己手动配置才可以进行漏洞测试,所以这就需要我们拿到weblogic网站的登录账号密码,这里很多网站其实在实际中,都是默认密码的存在,所以可以通过一些工具进行测试下。这个漏洞利用vulhub复现下来,没什么难度,新手也是完全ok的,平常一些护网面试啥的经常会问Java相关的漏洞问题,就比如weblogic漏洞。原创 2024-04-10 19:37:23 · 1948 阅读 · 0 评论 -
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!原创 2024-03-27 14:34:46 · 3287 阅读 · 0 评论 -
log4j2远程代码执行漏洞原理与漏洞复现
在看我写的log4j2远程代码执行漏洞之前,师傅们可以看看我前面写的《JNDI注入原理及利用IDEA漏洞复现》这篇文章,因为log4j2远程代码执行漏洞里面有讲JNDI注入,这样可以对师傅的理解更加深刻也更加容易理解!原创 2024-03-20 14:22:09 · 1771 阅读 · 0 评论 -
JNDI注入原理及利用IDEA漏洞复现
本篇文章我也是看过很多的博客写的,中间也遇到很多问题,JNDI注入漏洞的危害还是蛮高的。下面我们从RMI以及DNS协议进行详细的漏洞分析,其中漏洞的危害原因主要是lookup()函数可控,可以执行恶意的命令,从而造成恶意攻击。原创 2024-03-18 20:25:33 · 1863 阅读 · 1 评论 -
【Shiro反序列化漏洞】Shiro-550反序列化漏洞复现
Shiro-550反序列化漏洞大约在2016年就被披露了,但感觉直到近一两年,在各种攻防演练中这个漏洞才真正走进了大家的视野,Shiro-550反序列化应该可以算是这一两年最好用的RCE漏洞之一,原因有很多:Shiro框架使用广泛,漏洞影响范围广;攻击payload经过AES加密,很多安全防护设备无法识别/拦截攻击……原创 2024-03-14 20:59:53 · 1327 阅读 · 0 评论 -
【Shiro反序列化漏洞】shiro550流程分析
Shiro-550反序列化漏洞大约在2016年就被披露了,但感觉直到近一两年,在各种攻防演练中这个漏洞才真正走进了大家的视野,Shiro-550反序列化应该可以算是这一两年最好用的RCE漏洞之一,原因有很多:Shiro框架使用广泛,漏洞影响范围广;攻击payload经过AES加密,很多安全防护设备无法识别/拦截攻击……原创 2024-03-13 20:00:01 · 1441 阅读 · 0 评论