一、若依框架简介 若依是一个Java EE企业级快速开发平台，采用经典技术组合（Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap），内置了多个常用模块，如部门管理、角色用户、菜单及...

1. 简介 本文介绍了一种Python反序列化免杀方法，适用于多种安全防护软件，包括火绒、360和Windows Defender。 2. 正文 在实现Python反序列化免杀的过程中，我们可以采用一种特殊的加载器来绕过...

前言 尽管Shiro反序列化漏洞已经存在多年，但在平时的攻防比赛与红队评估项目中仍然经常遇到。即使主站没有遇到Shiro漏洞，但在主站边缘域名、全资子公司的子域名、边缘资产、微信公众号、微信...

影响范围： Jackson 2.x系列 < 2.9.9 漏洞类型： 反序列化导致任意文件读取 利用条件： 开启Default Typing，存在MySQL驱动版本 < 8.0.14 漏洞概述： 在开启Default Typing的情况下，Jack...

引言 Apache Commons Collections 是 Apache 软件基金会提供的一个 Java 工具库，包含了一系列实用的集合类和工具类。然而，其中的一些类在处理序列化时存在漏洞，可以被利用进行远程代码执行等...

0x01 RMI简介 RMI（Remote Method Invocation）远程方法调用，是一种允许程序在不同的JVM之间调用对象的方法。 在Java中，如果想要在网络中传递对象，通常会使用序列化来安全、完整地传递Java类...

最近，用友官方迅速响应并发布了一则漏洞情报，及时提供了补丁，并成功修复了一个前台反序列化漏洞。 漏洞描述 用友U8Cloud的所有版本中，ServiceDispatcher接口存在一个反序列化漏洞。攻击者可...