JAVA反序列化

Python、PHP和Java下的反序列化漏洞复现实例

Python考点SST&反序列化&字符串_正经人_____的博客-CSDN博客php反序列化p84CTF夺旗-PHP弱类型&异或取反&序列化&RCE_ctfphp异或_正经人_____的博客-CSDN博客java
正经人_____·2023-09-01 22:03

Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)

攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。影响版本ApacheShiro序列
gaynell·2023-08-31 01:16

CVE-2023-21839:Weblogic反序列化漏洞复现

反序列化漏洞复现声明:仅供学习参考使用,请勿用作违法用途,否则后果自负在进行漏洞复现前简单描述一下什么是序列化和反序列化:1、序列化和反序列化的定义:(1)Java序列化就是指把Java对象转换为字节序列的过程Java
gaynell·2023-08-31 01:15

Spring boot使用Kafka Java反序列化漏洞 CVE-2023-34040

文章目录0.前言漏洞spring-kafka介绍1.参考文档2.基础介绍3.解决方案3.1.升级版本3.2.替代方案4.Springkafka使用教程代码示例0.前言背景:公司项目扫描到Spring-Kafka上使用通配符模式匹配进行的安全绕过漏洞CVE-2023-20873漏洞中等风险|2023年8月23日|CVE-2023-34040在SpringforApacheKafka3.0.9及更早版
冰点.·2023-08-30 08:50

Java反序列化—Fastjson基础

0x01前言最近摆烂了很久,来学习一下fastjson0x02Fastjson简介Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和JavaObject之间互相转换。提供两个主要接口来分别实现序列化和反序列化操作。JSON.toJSONString将Java对象转换为json对象,序列化的过程。JSON.parseObject/JSON.parse将j
ZredamanJ·2023-08-26 07:17

java反序列化泛型中json对象

使用jackson的objectMapper来实现importcom.fasterxml.jackson.core.JsonProcessingException;importcom.fasterxml.jackson.core.type.TypeReference;importcom.fasterxml.jackson.databind.DeserializationFeature;import
大王1024·2023-08-23 21:04

一些基础的入侵绕过姿势案例分析

一类的设备的检出能力)、流量层面设备的审计记录(记录所有的网络行为)、主机层面的日志(系统日志、中间件日志、数据库日志等),简单分享一些在实际场景中遇见的一些比较有意思的场景;0x1Shiro场景ApacheShiroJava
si1ence_whitehat·2023-08-21 07:14

序列化和反序列化

文章目录1.什么是序列化和反序列化2.为什么需要序列化和反序列化3.Java序列化如何工作3.1Java序列化和反序列化3.2Java序列化和反序列化实现3.3Java序列化过程3.4Java反序列化过程
为什么要做囚徒·2023-08-16 12:37

Jboss(CVE-2017-12149)反序列化命令执行漏洞

漏洞简介该漏洞为Java反序列化错误类型,存在于Jboss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。
- Time·2023-08-11 09:52

CVE——通用漏洞披露

2022年11月18日发布的漏洞CVE-2022-45047表明如果使用低于2.9.1的ApacheMINASSHD版本,使用Java反序列化
四问四不知·2023-08-10 20:20

Java反序列化の初见

0x00前言本篇包含以下元素:java的反序列化java的反射机制java的命令执行一个简单的Java反序列化demo0x01java的命令执行之前写过PHP和NodeJs的命令执行,但是一直没接触过Java
莫慌搞安全·2023-08-02 18:06

Java反序列化之CC1其一

0x00前言本篇文章包含以下元素commons-collections-3.1漏洞(CVE-2015-4852)分析(基于JDK7u80)JNDI注入(写太多了,下篇文章写)利用RMI进行攻击Java的反序列化攻击实例0x01环境配置专业版IDEA菜狗用的是学生证书,免费用一年。至于为什么要用专业版呢?我也不知道,用最好的装备就完事了。JDK7u80其实也有别的版本的利用方法,但是我还太菜了,没有
莫慌搞安全·2023-08-02 18:06

Java反序列化(0):URLDNS的反序列化调试分析

URLDNS链子是Java反序列化分析的第0课,网上也有很多优质的分析文章。笔者作为Java安全初学者,也从0到1调试了一遍,现在给出调试笔记。
蚁景网络安全·2023-07-27 21:58

序列化和反序列化有什么作用?

一、基本概念1、序列化和反序列化的定义:(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。
小官学长·2023-07-26 13:39

[Java反序列化]—Jackson反序列化

文章首发于先知社区:Jackson反序列化文章目录前言JacksonJackson序列化与反序列化多态问题DefaultTypingJAVA_LANG_OBJECTOBJECT_AND_NON_CONCRETENON_CONCRETE_AND_ARRAYSNON_FINAL总结@JsonTypeInfo注解JsonTypeInfo.Id.NONEJsonTypeInfo.Id.CLASSJsonT
Sentiment.·2023-07-21 23:09

序列化和反序列化

一、基本概念1、序列化和反序列化的定义:(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。
uh239·2023-07-21 23:39

java中序列化与反序列化

一、基本概念1、序列化和反序列化的定义:(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。
小蚂蚁hjk·2023-07-19 22:45

序列化的意义以及常见的的序列化方式

对象保存到文件或数据库网络编程时对象跨平台跨语言传输,也即从windows上序列化的对象可到linux上反序列化,用c#序列化的对象可以被java反序列化
EntyIU·2023-07-19 20:07

JAVA反序列化】序列化与反序列化&Java反射&URLDNS链

文章目录原生序列化与反序列化概述为什么需要序列化和反序列化?应用场景(涉及到将对象转换成二进制,序列化保证了能够成功读取到保存的对象)涉及的协议好处为什么会产生反序列化漏洞?可能反序列化的形式?代码演示Java反射基础补充获取Class类对象的三种方式Class类获取构造方法对象的方法Constructor类用于创建对象的方法Class类获取成员变量对象的方法Field类用于给成员变量赋值的方法C
今天是 几 号·2023-07-17 07:45

[java安全]URLDNS

文章目录[java安全]URLDNS前言HashMapURLURLStreamHandler调用过程调用链流程图POC[java安全]URLDNS前言URLDNS利用链是一条很简单的链子,可以用来查看java
Leekos·2023-07-16 08:56

【Vulhub】Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)

脚本小子上线啦,开始复现以前出现实战环境的漏洞了,我会记录一些复现的漏洞(不会是全部),今天这个漏洞的原理我也不太会就知道是个Java反序列化的洞,只负责复现(脚本小子~)。
errorr0·2023-07-16 01:21

shiro 550 反序列化rce

攻击者可以使用shiro默认密钥伪造cooike,触发java反序列化漏洞。从而在目标上执行命令。漏洞影响版本是shiro<=1.2.4我用的docker环境。进入后是这个界面然后我们
不过是三年五载·2023-06-18 14:07

序列化、反序列化原理和Protobuf实现机制

实现序列化和反序列化2.1JDK类库API2.2谷歌gson方式2.3谷歌ProtoBuf协议组件1、基本概念1.1什么是序列化和反序列化(1)Java序列化是指把Java对象转换为字节序列的过程,而Java
八五年的湘哥·2023-06-18 05:05

shiro 反序列化漏洞解决方案总结

ApacheShiroJava反序列化漏洞分析ApacheShiro1.2.4反序列化漏洞分析ShiroRememberMe1.2.4反序列化导致的命令执行漏洞关于Shiro反序列化漏洞的延伸—升级shiro
雄关漫道从头越·2023-06-15 05:42

序列化

序列化方式1、Java序列化技术1.1基础概念Java序列化是指把Java对象转换为字节序列的过程;(编码)Java反序列化是指把字节序列恢复为Java对象的过程;(解码)1.2实现序列化和反序列化使用到
HelloWorld打断点·2023-06-13 23:12

必须知道的两个基本Java反序列化(护网蓝初面试干货)

目录1、反序列化漏洞2、Fastjson3、Shiro4、其他(1)CSRF、SSRF、重放攻击的区别(2)提权(3)常见端口号对应的服务(4)SQL注入写shell1、反序列化漏洞序列化就是将对象转化为字节序列从而便于存储运输,反序列化则与其相反。常见PHP序列化函数unserialize();常用的魔术方法:构造函数__construct(),析构函数__destruct(),__wakeup
kali-Myon·2023-06-10 04:07

(渗透学习)ysoserial工具使用--java反序列化漏洞利用

工具下载地址:https://github.com/angelwhu/ysoserial使用方法可参考:https://blog.csdn.net/weixin_34275734/article/details/92243836靶场webgoat---InsecureDeserializetion---5分析漏洞:题目给的数据是rO0AB开头,所以是经过了base64加密的java序列化对象。解码
imz丶·2023-06-07 18:23

《WEB安全渗透测试》(36) JAVA反序列化工具ysoserial使用介绍

1.ysoserial是什么?项目地址:https://github.com/frohoff/ysoserial作者介绍:Aproof-of-concepttoolforgeneratingpayloadsthatexploitunsafeJavaobjectdeserialization.ysoserial是一款用于生成利用不安全的Java对象反序列化的有效负载的概念验证工具。ysoserial
午夜观星河·2023-06-07 18:07

[渗透测试笔记] 56.日薪2k的蓝队hw中级定级必备笔记系列篇4之面试必备web中间件漏洞汇总

文章目录1.Weblogic1.1任意文件上传漏洞(CVE-2018-2894)1.2XML远程代码执行RCE漏洞(CVE-2020-14882)1.3SSRF漏洞(CVE-2014-4210)1.4Java
H4ppyD0g·2023-04-18 16:49

反序列化渗透与攻防(五)之shiro反序列化漏洞

攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令漏洞原
私ははいしゃ敗者です·2023-04-16 20:27

网络安全-JDBC反序列化漏洞与RCE

目录环境BlackHatEurope2019漏洞原理攻击手法mysql-connector-java的分析Mysql协议抓包分析Mysql服务器docker启动抓包&&分析FakeMysqlServer搭建Java
lady_killer9·2023-04-16 16:06

反序列化渗透与攻防(二)之Java反序列化漏洞

Java反序列化漏洞反序列化漏洞JAVA反序列化漏洞到底是如何产生的?
私ははいしゃ敗者です·2023-04-16 05:27

Java反序列化漏洞及实例详解

目录一、序列化和反序列化序列化用途二、Java反序列化漏洞数据出现函数接口漏洞发现漏洞利用三、Java序列化反序列化演示四、靶场演示一、序列化和反序列化序列化把Java对象转换为字节序列(字节流)的过程
ranzi.·2023-04-16 04:42

记一次反序列化漏洞的利用之路

这是属于标准的java反序列化,也没有进行任何过滤。
盛邦安全·2023-04-14 05:49

Android 反序列化漏洞攻防史话

本文即为对历史上曾出现过的AndroidJava反序列化漏洞的分析和研究记录。序列化和反序列化是指将内存数据结构转换为字节流,通过网络传输或者保存到磁盘,然后再将字节流恢复为内存对象的过程。
有价值炮灰·2023-04-11 19:16

Java反序列化漏洞 CommonsCollections 攻击利用链汇总(图解)

关于Java反序列化漏洞的CommonsCollections利用链,已经有很多师傅分析过了,而且很详细,比我分析的好,我就简单的画了个图汇总一下,看着更直观一些。
wh1te8ea·2023-04-09 20:47

护网面试题5.0

如果这些函数在传递参数时没有进行严格的过滤措施,那么攻击者就可以构造恶意代码并将其序列化后传入函数中,从而导致反序列化漏洞Java反序列化Java反序列化就是将java对象转化为字节序列的过程。
admin and root·2023-04-08 18:00

Java反序列化和JNDI注入

一、反序列化常见利用类利用类的作用:加载类或者执行命令。//类加载(1)com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl(BeanComparator、EqualsBean/ToStringBean可以间接调用TemplatesImpl)(2)java.util.ServiceLoader$LazyIterator/com.sun
wespten·2023-04-07 07:32

Java序列化与反序列化详解

Java反序列化是指把字节序列恢复为Java
哪 吒·2023-04-05 18:53

Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)漏洞复现

1、产品简介ApacheDubbo是一款高性能、轻量级的开源JavaRPC服务框架。2、漏洞概述Dubbo可以使用不同协议通信,当使用http协议时,ApacheDubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用,而这个过程会读取POST请求的Body并进行反序列化
OidBoy_G·2023-04-03 02:12

「阿里Java面试解析」Spring灵魂拷问100题解析,java反序列化漏洞原理

解释AOP解释Aspect切面简述SpringAOP中的通知SpringAOP中的织入你怎样理解?请详细介绍一下SpringMVC的流程?Spring配置文件?@RequestMapping注解用在类上面有什么作用怎么样把某个请求映射到特定的方法上面谈谈Spring对DAO的支持注:为了不影响阅读,我已经把解析整理成pdf免费分享出来,点击获取![「阿里Java面试解析」Spring灵魂《一线大厂
m0_64384202·2023-04-02 06:01

Java序列化面试总结

Java序列化是指把Java对象转换为字节流的过程,而Java反序列化是指把字节流恢复为Java对象的过程。序列化:序列化是把对象转换成有序字节流,以便在网络上传输或者保存在本地文件中。
路上阡陌·2023-03-31 10:19

Java反序列化

Java反序列化Java反序列化概念漏洞原理漏洞危害漏洞出现点漏洞挖掘漏洞防御序列化与反序列化代码参考文章Java反序列化概念在说反序列化之前,先说说序列化序列化就是将对象转化为字节流,利于存储和被引用反序列化与序列化恰恰相反
Buffedon·2023-03-30 21:39

Weblogic-JAVA反序列化(CVE-2018-2628)

weblogic-JAVA反序列化(CVE-2018-2628)漏洞复现-CVE-2018-26280x00前言该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。
贫僧法号云空丶·2023-03-29 23:34

初识Java反序列化

前言研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化和反序列化序列化:将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序
Java可可·2023-03-29 16:24

深入学习Java序列化

第一部分:WhatJava序列化是指把Java对象保存为二进制字节码的过程,Java反序列化是指把二进制码重新转换成Java对象的过程。那么为什么需要序列化呢?第
Java高级架构狮·2023-03-29 04:12

【JAVA】关于java反序列化失败的问题

最近刚好在打java基础,但是用ObjectOutputStream进行反序列的时候遇到了反序列化失败的问题,所以在这里讨论一下反序列化失败的问题目录1.反序列化失败抛出的异常信息2.在java中类的区分1.serializable接口2.java中类的区分3.序列化版本号1.序列化版本号的作用2.手动创建序列化版本号4.解决反序列化失败的方法1.反序列化失败抛出的异常信息java.io.Inva
西伯利亚小土豆·2023-03-21 00:45

Java序列化的总结

什么是序列化与反序列化Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节
奔跑吧李博·2023-03-14 16:49

反序列化漏洞

【1】Java反序列化漏洞从入门到深入https://xz.aliyun.com/t/2041【2】Java饭序列化漏洞实现https://www.cnblogs.com/lsdb/p/9830363.
hello12qwerz·2023-03-10 23:28

Java反序列化:基于CommonsCollections4的Gadget分析

随着Java应用的推广和普及,Java安全问题越来越被人们重视,纵观近些年来的Java安全漏洞,反序列化漏洞占了很大的比例。就影响程度来说,反序列化漏洞的总体影响也明显高于其他类别的漏洞。小编整理了一些java进阶学习资料和面试题,需要资料的请加JAVA高阶学习Q群:664389243这是小编创建的java高阶学习交流群,加群一起交流学习深造。群里也有小编整理的2019年最新最全的java高阶学习
java高级编程中心·2023-03-09 20:20
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他