专题:反序列化
共7篇相关文章
如何通过CB链分析构建 CommonsBeanutils 反序列化利用链?
代码审计 | CB链分析 —— CommonsBeanutils 反序列化利用链 目录 环境准备 CB链的执行终点 怎么触发 getOutputProperties() 跟源码 入口:PriorityQueue CB 链 vs CC2 对比...
如何搭建Shiro-550环境进行CVE-2016-4437漏洞调试分析及利用?
代码审计 | Shiro-550 —— CVE-2016-4437 环境搭建 调试分析 漏洞利用 目录 环境搭建 vulhub 快速复现 shiro-root-1.2.4 源码调试环境 抓包观察 RememberMe Cookie 源码调试...
FastJson 1.2.24 反序列化 RCE 漏洞如何进行代码审计分析?
代码审计 | FastJson 1.2.24 反序列化 RCE 漏洞分析 本文从环境搭建出发,一步一步分析 FastJson 反序列化 RCE 的完整利用链,并结合调试断点深入分析底层代码执行逻辑。 目录 漏洞背景 环境准备 搭建 Mave...
FastJSON 1.2.251.2.421.2.43版本反序列化漏洞如何审计?
代码审计 | FastJSON 反序列化分析:1.2.251.2.421.2.43 个人学习记录,记录一下这三个版本的绕过思路和调试过程。 这三个版本有个共同点:都需要 autoTypeSupport=true 才能利用,算是一...
如何快速掌握反序列化的?
这里直接拿java序列化和反序列化当例子 序列化:把一个 Java 对象 → 转成字符串或字节流(比如 JSON、二进制),方便存储或传输。 反序列化:把字符串或字节流 → 还原成 Java 对象。(把已经序列化的数据,再恢复成程序中的对象...
fastjson面试中,最常被问到的问题有哪些?
Fastjson 是阿里巴巴开源的 Java JSON 解析库,因为其功能强大(如自动类型识别、自定义类反序列化等),也成为漏洞频发的重灾区,尤其在反序列化方面 主要漏洞就是反序列化 反序列化 fastjson反序列化与weblogic、s...
如何深入理解网鼎杯2020朱雀组phpweb中的php反序列化漏洞?
作为一个学习ctf时间不长的萌新,之前所做的反序列化题目都是一知半解,只知道这种题目都是一堆class,找eval当链尾,然后组成pop链最后有个执行unserialize的地方,这种题才是php反序列化题目。本题作为一个简单的变式,对我对...