反序列化漏洞复现

vecctf web wp

vecctf-web-wp一、php源码审计这题没什么好说的,查看源码直接发现system("catflag_md5.txt"),根本没有绕过的必要,直接访问flag_md5.txt即可得到flag二、反序列化
C_zyyy·2024-01-30 18:58

使用WAF防御网络上的隐蔽威胁之反序列化攻击

什么是反序列化反序列化是将数据结构或对象状态从某种格式转换回对象的过程。这种格式通常是二进制流或者字符串(如JSON、XML),它是对象序列化(即对象转换为可存储或可传输格式)的逆过程。
云宝的黑客对抗日记·2024-01-30 18:49

漏洞复现】皓峰防火墙系统越权访问漏洞

Nx03产品主页hunter-query:title="皓峰防火墙系统登录"Nx04漏洞复现POC:/setd
晚风不及你ღ·2024-01-30 13:03

漏洞复现】C-Lodop云服务任意文件读取漏洞

Nx03产品主页fofa-query:"C-Lodop"&&icon_hash="-329747115"Nx04漏洞复现POC:GET/../../../..
晚风不及你ღ·2024-01-30 13:03

漏洞复现】零视技术H5S视频平台信息泄漏漏洞

Nx03产品主页hunter-query:title="H5S视频平台|WEB"Nx04漏洞复现POC:/
晚风不及你ღ·2024-01-30 13:02

漏洞复现】河辰通讯佑友防火墙后台命令执行漏洞

Nx01产品简介佑友是深圳市河辰通讯技术有限公司的注册商标,公司成立于1998年,主力产品是Mailgard佑友系列邮件服务器,邮件归档,垃圾邮件过滤网关,邮件网关,全球邮网关,邮件负载均衡网关、防火墙,VPN等。Nx02漏洞描述佑友防火墙网关管理系统存在命令执行漏洞,攻击者可利用该漏洞将恶意的系统命令拼接到正常命令中,从而造成命令执行攻击。Nx03产品主页hunter-query:app.nam
晚风不及你ღ·2024-01-30 13:57

使用WAF防御网络上的隐蔽威胁之反序列化攻击

什么是反序列化反序列化是将数据结构或对象状态从某种格式转换回对象的过程。这种格式通常是二进制流或者字符串(如JSON、XML),它是对象序列化(即对象转换为可存储或可传输格式)的逆过程。
IT香菜不是菜·2024-01-30 12:53

Linux本地内核提权漏洞复现(CVE-2019-13272)

image0x00简介在5.1.17之前的Linux内核中,kernel/ptrace.c中的ptrace_link错误地处理了想要创建ptrace关系的进程的凭据记录,这允许本地用户通过利用父子的某些方案来获取root访问权限进程关系,父进程删除权限并调用execve可能允许攻击者控制。0x01漏洞概述Linux执行PTRACE_TRACEME函数时,ptrace_link函数将获得对父进程凭据
5f4120c4213b·2024-01-30 12:06

Jackson序列化和反序列化的统一配置

JDK17+SpringBoot3.2.2通过实现Jackson2ObjectMapperBuilderCustomizer接口重写customize方法,springboot会对该接口的所有实现类进行配置的合并,将设置的属性封装到IOC容器中的ObjectMapper对象中,无需进行手动New。如果自己newObjectMapper,那么这些自定义的配置就不会自动封装到新创建的objectMap
勿语&·2024-01-30 09:01

fastjson反序列化方法JSON.parseObject(String str,Class clazz)

对象到字符串的过程,我们称之为序列化;反之,我们称为反序列化
斩天拔剑书·2024-01-30 09:24

Java反序列化json内存溢出_fastjson反序列化使用不当致使内存泄露

分析一个线上内存告警的问题时,发现了形成内存告警的缘由是使用fastjson不当致使的。分析dump发现com.alibaba.fastjson.util.IdentityHashMap$Entry对象比较多。html查找相关文档fastjsonIdentityHashMap内存泄漏排查(这篇文档分析描述的状况与咱们遇到的问题的缘由同样,是使用com.alibaba.fastjson.util.P
李daxin·2024-01-30 09:22

Java反序列化json内存溢出_fastJson与一起堆内存溢出'血案'

FastJson与一起堆内存溢出'血案'现象QA同学反映登录不上服务器排查问题1--日志级别查看log,发现玩家登录的时候抛出了一个java.lang.OutOfMemoryError大概代码是向Redis序列化一个PlayerMirror镜像数据,但是在JSON.toJSONString的时候出现了错误.比较清晰,即序列化的时候expandCapacity,内存不足又看了一下日志,有好几个Out
weixin_39753584·2024-01-30 09:22

fastjson源码分析之序列化

fastJson是很常用的序列化工具,用了这么久一直想底层看一下它的设计,探究一下它序列化和反序列化效率高的秘密。现在从最基础的用法开始,一点点揭开fastJson神秘的面纱。
weixin_30725467·2024-01-30 09:51

Java反序列化json内存溢出_fastJson 与一起堆内存溢出‘血案

现象QA同学反映登录不上服务器排查问题1–日志级别查看log,发现玩家登录的时候抛出了一个java.lang.OutOfMemoryError大概代码是向Redis序列化一个PlayerMirror镜像数据,但是在JSON.toJSONString的时候出现了错误.比较清晰,即序列化的时候expandCapacity,内存不足。又看了一下日志,有好几个OutOfMemoryError,都是类似于用
换个宇宙·2024-01-30 09:51

Java反序列化json内存溢出_fastjson反序列化使用不当导致内存泄露

分析一个线上内存告警的问题时,发现了造成内存告警的原因是使用fastjson不当导致的。分析dump发现com.alibaba.fastjson.util.IdentityHashMap$Entry对象比较多。查找相关文档fastjsonIdentityHashMap内存泄漏排查(这篇文档分析描述的情况与我们遇到的问题的原因一样,是使用com.alibaba.fastjson.util.Param
棒棒李·2024-01-30 09:51

fastjson1.2.75暂未修补的反序列化“漏洞“

目录前言旧版本漏洞回顾1.2.68的漏网之鱼“系统的白名单”"通行证""绕过"1.2.75的问题测试Demo小结前言这几天在一直研究fastjson反序列化漏洞,从1.2.24版本开始一直到1.2.68
d3f4ult·2024-01-30 09:50

【Spring连载】使用Spring访问 Apache Kafka(十九)----Apache Kafka Streams支持

ApacheKafka(十九)----ApacheKafkaStreams支持一、基础Basics二、Spring管理三、KafkaStreamsMicrometer支持四、StreamsJSON序列化和反序列化
85程序员老王·2024-01-30 07:00

ASP.NET Core 3.1系列(29)——System.Text.Json实现JSON的序列化和反序列化

在ASP.NETCore3.0之前,大多数项目都会使用Newtonsoft.Json组件来实现JSON的序列化和反序列化操作,而从ASP.NETCore3.1开始,微软提供的System.Text.Json
HerryDong·2024-01-30 07:59

Asp .Net Core 系列:Asp .Net Core 配置 System.Text.Json

所有配置全局配置对比Newtonsoft.Json无实体类型下操作Json自定义转换器处理Dynamic类型封装常用配置封装JsonHelper帮助类简介System.Text.Json命名空间提供用于序列化和反序列化
Code技术分享·2024-01-30 07:27

Flink问题解决及性能调优-【Flink rocksDB读写state大对象导致背压问题调优】

遇到的问题Flink开发中遇到读写state大对象的问题,FlinkwebUI火焰图表现如下:从图上看,瓶颈卡在序列化与反序列化,结合业务逻辑代码,业务涉及state大对象的读写,并且是ValueS
PONY LEE·2024-01-30 07:48

java 对象序列化与反序列化

反序列化是指从文件中将一个对象恢复到程序中。
external123·2024-01-30 07:41

pickle文件读取及pickle的相关作用

1.当我们使用train.pickle文件进行模型训练时,可以使用进行数据读取,我们发现.pickle文件是Python中用于序列化和反序列化数据的一种数据格式。
luyanpingya·2024-01-30 04:15

webug存在的越权漏洞-水平越权以及垂直越权的漏洞复现(超详解)

越权漏洞-webug、1.登录账号:admin密码:admin2.进入逻辑漏洞3.进入越权修改密码靶场(1)输入账号密码进入进去会发现没有权限进入方法一:这里我们只需要将127.0.0.1:8080/control/a/auth_cross/cross_auth_passwd2.php?id=1中的/a删除即可删除后这便进入进来了方法二:在容器中进入/var/www/html/control/au
爱喝水的泡泡·2024-01-30 02:54

深入分析Kafka生产者和消费者

消费者消费者属性配置消费者基础概念消费者群组订阅主题轮询拉取提交和偏移量提交偏移量带来的问题自动提交手动提交异步提交同步和异步提交特定提交消费者核心概念群组协调分区再均衡再均衡监听器从特定偏移量处开始记录优雅退出反序列化器独立消费者
wzljiayou·2024-01-29 23:23

Go语言grpc服务开发——Protocol Buffer

文章目录一、ProtocolBuffer简介二、ProtocolBuffer编译器安装三、proto3语言指南四、序列化与反序列化五、引入grpc-gateway1、插件安装2、定义proto文件3、生成
进击的程序猿~·2024-01-29 22:56

每日一道面试题:Java中序列化与反序列化

通过这个问题便引出了我们今天的主人公:序列化与反序列化!序列化:所谓的序列化就是将Java对象或数据结构转为字节序列的过程,以便于存储到数据库、内存、文件系统或者网络传输
JavaBuild888·2024-01-29 20:39

使用WAF防御网络上的隐蔽威胁之反序列化攻击

什么是反序列化反序列化是将数据结构或对象状态从某种格式转换回对象的过程。这种格式通常是二进制流或者字符串(如JSON、XML),它是对象序列化(即对象转换为可存储或可传输格式)的逆过程。
caomengde233·2024-01-29 18:01

序列化与反序列化

importjava.io.FileInputStream;importjava.io.FileNotFoundException;importjava.io.FileOutputStream;importjava.io.IOException;importjava.io.ObjectInputStream;importjava.io.ObjectOutputStream;publicclasst
Lance_Ed_lin·2024-01-29 18:06

读书笔记#深度剖析ApacheDubbo核心技术内幕

远程调用层则是对网络传输与请求数据序列/反序列化等的抽象Dubbo就是一个扩展性极强的框架,其RPC层中的所有组件都是基于SPI
landon30·2024-01-29 14:54

用友移动管理系统 DownloadServlet 任意文件读取漏洞复现

0x01产品简介用友移动系统管理是用友公司推出的一款移动办公解决方案,旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具,方便用户在移动设备上管理和处理企业的系统和业务。0x02漏洞概述用友移动管理系统DownloadServlet接口处任意文件读取漏洞,未经身份验证的攻击者可以利用此漏洞读取内部系统敏感文件,使系统处于极不安全的状态。0x03复现环境FOFA:app
OidBoy_G·2024-01-29 14:11

用友 移动管理系统 DownloadServlet 任意文件读取漏洞复现(含nuclei-POC)

免责声明由于传播、利用本CSDN所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!一、产品介绍宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。二、漏洞描述宏景eHRFrCodeAddTreeServlet接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执
0xOctober·2024-01-29 14:40

Nginx解析漏洞复现

首先这个漏洞不是软件或代码的问题,是认为疏忽造成的。一、环境搭建从vulhub上面下载vulhub-master.zip文件,上传到服务器中,或者直接在服务器下载。unzipvulhub-master.zip进入漏洞目录cd/vulhub-master/vulhub-master/nginx/nginx_parsing_vulnerability在当前目录下执行,拉取镜像dockercompose
就不做程序猿·2024-01-29 10:16

Nginx解析漏洞复现

Nginx解析漏洞一、搭建环境二、复现过程三、漏洞原理及防范一、搭建环境环境需求:ubuntu虚拟机,docker环境,vulhub-master环境这里我使用的Linux系统为Ubuntu22.04版本,已经准备完毕(比如换源,安装docker等操作)1、通过FTP将vulhub-master.zip环境包上传并进行解压这里我已将环境包上传至root主目录下,下面进行解压:unzipvulhub
君衍.⠀·2024-01-29 08:05

探索Android开源框架 - 8. Gson使用及源码解析

Java对象和JSON数据之间进行映射的库,今天我们就来分别讲一讲其使用和源码分析使用详解1.基本的解析与生成Gson提供了fromJson()和toJson()两个直接用于解析和生成的方法,前者实现反序列化
今阳说·2024-01-29 03:37

漏洞复现】中移铁通禹路由器弱口令漏洞

Nx03产品主页hunter-query:title="互联世界物联未来-登录"Nx04漏洞复现使用默认弱口令admin进行登录。Nx05修复建议建议
晚风不及你ღ·2024-01-29 01:59

漏洞复现】中移铁通禹路由器信息泄露漏洞

Nx03产品主页hunter-query:title="互联世界物联未来-登录"Nx04漏洞复现POC:/cgi-bin/ExportSe
晚风不及你ღ·2024-01-29 01:59

c++学习之IO流

目录前言:一,流的概念二,c++的io流输入输出流缓冲区的同步文件流文件的打开文件读写自定义类型数据字符流1.将数值类型数据格式化为字符串2.字符串拼接3.序列化和反序列化结构数据前言:在了解c++的输入输出流之前
万众☆倾倒·2024-01-28 23:35

企语iFair协同管理系统getuploadimage.jsp接口存在任意文件读取漏洞CVE-2023-47473

1.企语iFair协同管理系统简介微信公众号搜索:南风漏洞复现文库该文
sublime88·2024-01-28 21:42

漏洞复现-万户OA text2Html 任意文件读取(附漏洞检测脚本)

免责声明文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责漏洞描述万户OAtext2Html接口存在任意文件读取漏洞,可读取系统配置文件。fofa语句app="万户网络-ezO
炼金术师诸葛亮·2024-01-28 21:41

c# Newtonsoft.Json 序列化和反序列化

1.安装Newtonsoft.JsonNuget包在C#中,你可以使用Newtonsoft.Json库来进行对象的序列化和反序列化,下面是一个简单的示例:usingNewtonsoft.Json;usingSystem
彭小彭~·2024-01-28 16:22

Laravel-popchain

看了下基本上就5.7,5.8两个版本的rce反序列化popchain。所以工作量应该不大。正好最近完成tp系列的popchain学习审计代码的感觉还在,那就趁热打铁吧。
byc_404·2024-01-28 15:16

Redash 默认key漏洞(CVE-2021-41192)复现

1.漏洞级别中危2.漏洞搜索fofa"redash"3.影响范围Redash<10.0.04.漏洞复现漏洞的产生主要原因是由于redash这个项目的token生成方式存在默认key,如果用
fly夏天·2024-01-28 14:08

Office365-Indexs-任意文件读取

指纹特征fofa:header="OfficeWeb365"||body="请输入furl参数"hunter:header="OfficeWeb365"||web.body="请输入furl参数"漏洞复现
LZsec·2024-01-28 14:37

officeWeb365 Indexs接口存在任意文件读取漏洞复现

OfficeWeb365是专注于Office文档在线预览及PDF文档在线预览云服务,包括MicrosoftWord文档在线预览、Excel表格在线预览、Powerpoint演示文档在线预览,WPS文字处理、WPS表格、WPS演示及AdobePDF文档在线预览。OfficeWeb365/Pic/Indexs接口处存在任意文件读取漏洞,攻击者可通过独特的加密方式对payload进行加密,读取任意文件,
fly夏天·2024-01-28 14:35

漏洞复现 - Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)

Shiro最有名的漏洞就是反序列化漏洞了,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令
Sally__Zhang·2024-01-28 13:15

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)

目录ApacheShiro简介漏洞原理影响版本漏洞复现声明:本文仅供学习参考,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果,本人不承担任何法律及连带责任。
Passer798·2024-01-28 13:14

shiro1.2.4反序列化漏洞(CVE-2016-4437)的问题分析(一)

记录Java开发中的问题,一起成长!问题背景:在某个项目中依赖了shiro1.2.4,结果收到了网警的一纸警告,警告上明确写道存在CVE-2016-4437以及造成此漏洞的罪魁祸首是使用了org.apache.maven.pluginsmaven-toolchains-plugin1.11.6suntoolchain这里定义了1.6版本的JDK的目录,当然,你也可以定义多个toolchain。ok
donggongai·2024-01-28 13:43

Apache Shiro <= 1.2.4反序列化漏洞攻击 CVE-2016-4437 已亲自复现

ApacheShiro<=1.2.4反序列化漏洞攻击CVE-2016-4437已亲自复现漏洞名称漏洞描述影响版本漏洞复现环境搭建漏洞利用修复建议总结漏洞名称漏洞描述在1.2.5之前的ApacheShiro
Bolgzhang·2024-01-28 13:41

java对象序列化技术的运用——学生管理系统

在这个项目中,可提前对序列化和反序列化方法进行封装,提高代码复用率。本项目总共三个类。学生类,学生管理类与client类。学生类publicStudent(intsn
旺仔小馒头~~·2024-01-28 12:46

php phar 混淆,深入理解PHP Phar反序列化漏洞原理及利用方法(一)

Phar反序列化漏洞是一种较新的攻击向量,用于针对面向对象的PHP应用程序执行代码重用攻击,该攻击方式在BlackHat2018会议上由安全研究员SamThomas公开披露。
永远的12·2024-01-28 10:34
上一页 6 7 8 9 10 11 12 13 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他