排序
基于若依框架的Shiro反序列化漏洞分析与利用
一、若依框架简介 若依是一个Java EE企业级快速开发平台,采用经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap),内置了多个常用模块,如部门管理、角色用户、菜单及...
Python 反序列化免杀技巧:打破检测 【免杀】
1. 简介 本文介绍了一种Python反序列化免杀方法,适用于多种安全防护软件,包括火绒、360和Windows Defender。 2. 正文 在实现Python反序列化免杀的过程中,我们可以采用一种特殊的加载器来绕过...
Weblogic下Shiro反序列化漏洞利用权限获取方法
前言 尽管Shiro反序列化漏洞已经存在多年,但在平时的攻防比赛与红队评估项目中仍然经常遇到。即使主站没有遇到Shiro漏洞,但在主站边缘域名、全资子公司的子域名、边缘资产、微信公众号、微信...
CVE-2019-12086:Jackson反序列化文件读取漏洞
影响范围: Jackson 2.x系列 < 2.9.9 漏洞类型: 反序列化导致任意文件读取 利用条件: 开启Default Typing,存在MySQL驱动版本 < 8.0.14 漏洞概述: 在开启Default Typing的情况下,Jack...
ysoserial | CC1硬核逆向分析(模拟发现者视角)
引言 Apache Commons Collections 是 Apache 软件基金会提供的一个 Java 工具库,包含了一系列实用的集合类和工具类。然而,其中的一些类在处理序列化时存在漏洞,可以被利用进行远程代码执行等...
利用Java RMI进行反序列化攻击
0x01 RMI简介 RMI(Remote Method Invocation)远程方法调用,是一种允许程序在不同的JVM之间调用对象的方法。 在Java中,如果想要在网络中传递对象,通常会使用序列化来安全、完整地传递Java类...
用友U8Cloud ServiceDispatcher反序列化漏洞风险提示及解决方案
最近,用友官方迅速响应并发布了一则漏洞情报,及时提供了补丁,并成功修复了一个前台反序列化漏洞。 漏洞描述 用友U8Cloud的所有版本中,ServiceDispatcher接口存在一个反序列化漏洞。攻击者可...