如何高效地捡漏反序列化利用链? 31 Dec, 2021 行业新闻 #1 前言 之前在文章如何高效地挖掘Java反序列化利用链中提到了我是如何高效挖掘利用链的,这其中提到了工具tabby。 目前,tabby开源也有一段时间了,这段时间里有不少小伙伴... Read More
说说JAVA反序列化 31 Dec, 2021 行业新闻 JAVA 是我国开发者广泛使用的开发语言,在金融行业使用尤为突出。实战中,利用 Java 反序列化实现远程命令执行的案例增长趋势明显,同时,WebLogic、 WebSphere、 JBoss、 Shir... Read More
java反序列化——XMLDecoder反序列化漏洞 20 Aug, 2020 行业新闻 本文首发于“合天智汇”公众号 作者:Fortheone前言最近学习java反序列化学到了weblogic部分,weblogic之前的两个反序列化漏洞不涉及T3协议之类的,只是涉及到了XMLDecoder反序列... Read More
Java反序列化:Apache-Shiro复现分析 30 Jul, 2020 行业新闻 看了好久的文章才开始分析调试java的cc链,这个链算是java反序列化漏洞里的基础了。分析调试的shiro也是直接使用了cc链。首先先了解一些java的反射机制。 PS:本文仅用于技术讨... Read More
Java序列化对象:流行性调研、漏洞渗透、利用开发和安全识别 29 Mar, 2019 行业新闻 概述Java序列化对象(Java Serialization Object,JSO)是Java语言中在不同Java程序之间进行数据交换的机制,通过序列化和反序列可以在程序保存和恢复Java执行态的对象,JSO给Java开... Read More
深入理解JNDI注入与Java反序列化漏洞利用 19 Nov, 2018 行业新闻 0. 前言在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念,其中RMI是一个基于序列化的Java远程方法调用机制。作为一个常见的反序列化入口,它和反序列化... Read More