E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
反序列化漏洞复现
PHAR
反序列化
漏洞
一:PHAR
反序列化
漏洞原理我们一般利用
反序列化
漏洞,一般借助unserialize(),但现在很难利用了,所以考虑用一种新的方法,不需要借助unserialize()情况下触发PHP反序列漏洞。
不要做小白了
·
2024-01-28 10:03
php
开发语言
web安全
phar
反序列化
漏洞
基础:Phar是一种PHP文件归档格式,它类似于ZIP或JAR文件格式,可以将多个PHP文件打包成一个单独的文件(即Phar文件)。打包后的Phar文件可以像普通的PHP文件一样执行,可以包含PHP代码、文本文件、图像等各种资源,也可以对Phar文件进行签名、压缩和加密,我们还可以在文件包含中使用phar伪协议,可读取.phar文件。phar文件格式:stub.phar文件标识,格式为xxx;ma
补天阁
·
2024-01-28 10:59
phar反序列化漏洞
web安全
宏景eHR FrCodeAddTreeServlet SQL注入
漏洞复现
0x03复现环境FOFA:app="HJSOFT-HCM"0x04
漏洞复现
PoCPOST/templ
OidBoy_G
·
2024-01-28 09:04
漏洞复现
安全
web安全
Adobe ColdFusion 任意文件读取
漏洞复现
(CVE-2023-26361)
0x01产品简介AdobeColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。0x02漏洞概述AdobeColdFusion平台filemanager.cfc接口存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。0x03影响范围AdobeColdFu
OidBoy_G
·
2024-01-28 09:03
漏洞复现
adobe
安全
web安全
Adobe ColdFusion
反序列化
漏洞复现
(CVE-2023-38203)
0x02漏洞概述AdobeColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据
反序列化
漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。
OidBoy_G
·
2024-01-28 09:57
漏洞复现
adobe
安全
web安全
Spark——Spark/Hive向量化查询执行原理分析(Vectorization Query Execution)
而在向量化查询执行中,每次处理包含多行记录的一批数据,每一批数据中的每一列都会被存储为一个向量(一个原始数据类型的数组),这就极大地减少了执行过程中的方法调用、
反序列化
和不必要的
Southwest-
·
2024-01-28 08:47
Spark
Spark
Hive
向量化
【Kafka】高级特性:消费者
目录消息消费消息消费流程信息注册消息消费消费方式
反序列化
拦截器消费者原理剖析消费者组和消费者心跳机制消费者位移概述位移管理位移提交再平衡何时发生再平衡避免重平衡再平衡原理消费组状态机参数配置消息消费消息消费流程参考
Ethan-running
·
2024-01-28 07:39
#
kafka
kafka
消息中间件
分布式
漏洞复现
-EduSoho任意文件读取漏洞(附漏洞检测脚本)
免责声明文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责漏洞描述教培系统classroom-course-statistics接口存在未授权任意文件读取漏洞,通过该漏洞攻击者
炼金术师诸葛亮
·
2024-01-28 07:51
安全
web安全
【Go 快速入门】数组 | 切片 | 映射 | 函数 | 结构体 | 方法和接收者
文章目录数组切片append函数copy函数删除元素映射delete函数函数init特殊的函数defer语句panic/recover错误处理类型结构体内存对齐JSON序列化与
反序列化
方法和接收者项目代码地址
ღCauchyོꦿ࿐
·
2024-01-28 07:06
Go
golang
开发语言
后端
【
漏洞复现
】友讯D-Link路由器信息泄露漏洞
Nx03产品主页hunter-query:title=="D-Link路由器管理页"Nx04
漏洞复现
POC:/actpt.dataNx05修复建议建议联系软件厂
晚风不及你ღ
·
2024-01-28 06:54
【漏洞复现】
web安全
智能路由器
【CVE-2019-16920】多款D-Link路由器的未授权RCE
漏洞复现
目录0x00漏洞概述0x01影响版本0x02漏洞评级0x03shodan搜索漏洞环境0x04漏洞验证0x05修复建议0x00漏洞概述友讯科技股份有限公司(D-LinkCorporation)是一家台湾科技公司,总部位于台北市内湖区,于1986年由高次轩成立。公司专注于电脑网络设备的设计开发,自创“D-Link”品牌,主要生产制造消费者及企业所使用的无线网络和以太网硬件产品。2019年9月,Fort
Jaoing
·
2024-01-28 06:53
漏洞复现
【
漏洞复现
】友讯D-Link路由器弱口令漏洞
Nx03产品主页hunter-query:title=="D-Link路由器管理页"Nx04
漏洞复现
使用默认弱口令admin/admin进行登录。Nx05
晚风不及你ღ
·
2024-01-28 06:20
【漏洞复现】
web安全
<第四章>Node 学习笔记 |> QueryString 参数处理小利器<|
序列化:querystring.stringify()
反序列化
:querystring.parse()转义:querystring.escape()反转义:querystring.unescape()总结
熊明才
·
2024-01-28 06:04
node.js
url
JAVA
反序列化
漏洞基础
ObjectOutputStreampackagecom.test;publicclassEmployeeimplementsjava.io.Serializable{publicStringname;publicStringaddress;publictransientintage;//transient瞬态修饰成员,不会被序列化publicvoidaddressCheck(){System.o
coleak
·
2024-01-28 05:06
#
java
java
jvm
开发语言
Java代码审计:
反序列化
链CommonsCollections1详解
CommonsCollection在java
反序列化
的源流中已经存在5年今天介绍的CommonsCollections1,
反序列化
的第一种RCE序列化链CommonsCollections1
反序列化
漏洞点仍然是
god_Zeo
·
2024-01-28 05:34
代码审计
Goby 利用内存马中的一些技术细节【技术篇】
社区的内存马文章已经写了两篇,在第一篇《Shell中的幽灵王者—JAVAWEB内存马【认知篇】》中介绍了JavaWeb内存马技术的历史演变、分类,从认知层面对常见的JavaWeb内存马技术进行了介绍;第二篇《用Goby通过
反序列化
漏洞一键打入内存马
Gobysec
·
2024-01-28 05:34
Goby
内存马
javaweb
网络
安全
java
Nginx解析
漏洞复现
Nginx简介Nginx(enginex)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx1.0.4发布。Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like
-飞飞鱼
·
2024-01-28 02:54
漏洞复现
网络安全
linux
web安全
Nginx 解析
漏洞复现
1、漏洞原理(1)由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,为此可以构造http://ip/uploadfiles/test.png/.php(url结尾不一定是‘.php’,任何服务器端不存在的php文件均可,比如’a.php’),其中test.png是我们上传的包含PHP代码的照片文件。(2)但是fastcgi在处理’.php’文件时发现
zzz@123
·
2024-01-28 02:53
漏洞复现
安全漏洞
网络安全
Nginx 解析
漏洞复现
及利用
Nginx解析
漏洞复现
今天被老师进行进行面试了,被问到了什么是解析漏洞,呜呜呜我太菜了,答不出来,但是生命不息,学习不止,现在就让我们一起学习一下什么是解析漏洞。
Tauil
·
2024-01-28 02:22
网络安全
web安全
网络安全03---Nginx 解析
漏洞复现
目录一、准备环境二、实验开始2.1上传压缩包并解压2.2进入目录,开始制作镜像2.3可能会受之前环境影响,删除即可编辑2.4制作成功结果2.5我们的环境一个nginx一个php2.6访问漏洞2.7漏洞触发结果2.8上传代码不存在漏洞2.9补充:在nginx放通了解析php才会去解析2.10看看这个漏洞图片吧三、真正原因五、如何防范:一、准备环境ubentu虚拟机,docker环境,vulhub-m
凌晨五点的星
·
2024-01-28 02:21
网络安全
web安全
安全
彻底解决Spring mvc中时间的转换和序列化等问题
我们使用含有java.time封装类型的参数接收也会报
反序列化
问题,在返回前端带时间类型的同样会出现一些格式化的问题。今天我们来彻底解决他们。建议其实最科学的建议统一使用时间戳来代表时间。
码农小胖哥
·
2024-01-28 01:25
服务攻防-中间件安全&HW2023-WPS分析&Weblogic&Jetty&Jenkins&CVE
知识点:1、中间件-Jetty-CVE&信息泄漏2、中间件-Jenkins-CVE&RCE执行3、中间件-Weblogic-CVE&
反序列化
&RCE4、应用WPS-HW2023-RCE&复现&上线CS章节点
SuperherRo
·
2024-01-27 22:46
#
服务安全篇
中间件
wps
Jetty
Jenkins
weblogic
怎么做深拷贝?
在JavaScript中,可以通过以下方法来实现深拷贝:使用JSON序列化和
反序列化
:constdeepCopy=(obj)=>{returnJSON.parse(JSON.stringify(obj)
一个大长腿
·
2024-01-27 21:07
javascript
开发语言
ecmascript
【网络编程】协议定制
tcp是面向字节流的Json序列化和
反序列化
requestresponsehttp协议urlencode和urldecodehttp协议格式http服务器#pragmaonce#include#include
天穹南都
·
2024-01-27 19:50
网络
go 原生rpc使用详解
调用几大要素概念:像调用本地方法一样调用远程方法,要实现类似的效果就必须满足一些规则,即以下几大要素CALLID映射(服务端和客户端都需要有一个映射表,服务端通过表知道客户端调用的是那个方法),序列化和
反序列化
hengbo.liu
·
2024-01-27 18:15
golang
golang
rpc
开发语言
[SWPUCTF 2018]SimplePHP
[SWPUCTF2018]SimplePHP知识点:phar
反序列化
文章目录[SWPUCTF2018]SimplePHP文件读取文件上传分析文件读取分析phar
反序列化
构造pop链一些函数测试参考链接文件读取注意观察
Sk1y
·
2024-01-27 17:27
CTF刷题记录
Web
CTF
phar反序列化
【Spring连载】使用Spring访问 Apache Kafka(十六)----空payload和‘Tombstone‘记录的日志压缩
你也可以出于其他原因接收到null值,例如
反序列化
程序在无法
反序列化
值时可能返回null。要使用KafkaTemplate发送null负载,可以将n
85程序员老王
·
2024-01-27 16:26
spring
apache
kafka
【复现】JieLink+智能终端操作平台弱口令漏洞_28
目录一.概述二.漏洞影响三.
漏洞复现
1.漏洞一:四.修复建议:五.搜索语法:六.免责声明一.概述JeLink+智能终端操作平台(JSOTC2016fJeLink+)是捷顺历经多年行业经验积累,集智能硬件技术视频分析技术
穿着白衣
·
2024-01-27 14:45
安全漏洞
安全
系统安全
web安全
网络安全
【复现】Laykefu客服系统后台漏洞合集_29
目录一.概述二.漏洞影响三.
漏洞复现
1.漏洞一:2.漏洞二:3.漏洞三:4.漏洞四:四.修复建议:五.搜索语法:六.免责声明一.概述Laykefu客服系统是thinkphp5+Gatewayworker
穿着白衣
·
2024-01-27 14:10
安全漏洞
安全
web安全
系统安全
网络安全
架构设计:RPC框架的基本架构与组件
RPC框架的核心组件包括客户端、服务端、注册中心、协议、序列化和
反序列化
等。在分布式系统中,客户端可以通过RPC框架调用服务端提供的远
OpenChat
·
2024-01-27 12:29
rpc
架构
网络协议
网络
Jenkins CLI 任意文件读取
漏洞复现
(CVE-2024-23897)
0x01产品简介Jenkins是一个开源的自动化服务器软件,用于构建、测试和部署软件项目。它提供了一种强大的方式来自动化软件开发和交付流程,以提高开发团队的效率和生产力。0x02漏洞概述漏洞成因命令行接口文件读取:Jenkins内置的命令行接口(CLI)存在一个特性,允许在命令参数中用@字符后跟文件路径来替换为文件内容。这导致攻击者能够读取Jenkins控制器文件系统上的任意文件。权限绕过:拥有O
OidBoy_G
·
2024-01-27 11:37
漏洞复现
jenkins
web安全
安全
宏景eHRSmsAcceptGSTXServle存在XXE漏洞
指纹特征app="HJSOFT-HCM"
漏洞复现
POST/servlet/sms/SmsAcceptGSTXServletHTTP/1.1Host:User-Agent:Mozilla/5.0(WindowsNT10.0
LZsec
·
2024-01-27 09:01
漏洞复现
web安全
用友-移动系统管理-getApp接口存在SQL注入
指纹特征app="用友-移动系统管理"
漏洞复现
POST/mobsm/common/..
LZsec
·
2024-01-27 08:31
漏洞复现
sql
数据库
web安全
金盘移动图书管理系统doUpload.jsp接口存在文件上传漏洞
指纹特征app="金盘软件-金盘移动图书馆系统"
漏洞复现
POST/pages/admin/tools/uploadFile/doUpload.jspHTTP/1.1Host:User-Agent:Mozilla
LZsec
·
2024-01-27 08:30
漏洞复现
java
开发语言
web安全
【
漏洞复现
】上海冰峰ICEFLOW VPN信息泄露漏洞
Nx01产品简介上海冰峰计算机网络技术有限公司是国内VPN、流量管理、行为管理、链路负载均衡、下一代防火墙设备供应商和IT价值解决方案提供商。冰峰网络reporter系统是一套数据报表管理系统。Nx02漏洞描述上海冰峰计算机网络技术有限公司ICEFLOWVPNRouter系统存在信息泄露漏洞。攻击者可通过该漏洞获取系统日志信息。Nx03产品主页hunter-query:body="上海冰峰计算机网
晚风不及你ღ
·
2024-01-27 08:51
【漏洞复现】
web安全
【
漏洞复现
】艺创科技智能营销路由器后台命令执行漏洞
Nx03产品主页hunter-query:title=="艺创科技"Nx04
漏洞复现
漏洞点存在系统维护-命令控制台
晚风不及你ღ
·
2024-01-27 08:11
【漏洞复现】
web安全
ThinkPHP5.0.0~5.0.23
反序列化
利用链分析
本次测试环境仍然是ThinkPHPv5.0.22版本,我们将分析其中存在的一条序列化链。一道CTF题这次以一道CTF题作为此次漏洞研究的开头。题中涉及PHP的死亡绕过技巧,是真实环境中存在的情况。$payload='';$filename=$payload.'468bc8d30505000a2d7d24702b2cda9.php';$data="\n".serialize($payload.'64
昵称还在想呢
·
2024-01-27 07:02
PHP代码审计
android
php
安全
web安全
某赛通电子文档安全管理系统 hiddenWatermark/uploadFile 文件上传
漏洞复现
0x01产品简介某赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机
OidBoy_G
·
2024-01-27 07:50
漏洞复现
安全
web安全
Java序列化
1.定义:Java序列化就是指把Java对象转换为字节序列的过程Java
反序列化
就是指把字节序列恢复为Java对象的过程。
Cucucuu
·
2024-01-27 01:24
Leetcode-树的遍历
从前序与中序遍历序列构造二叉树q106从中序与后序遍历序列构造二叉树q110平衡二叉树q114二叉树展开为链表q124二叉树中的最大路径和q144二叉树的前序遍历q145二叉树的后序遍历q297二叉树的序列化与
反序列化
jenrain
·
2024-01-27 00:24
LeetCode
leetcode
[极客大挑战 2019]PHP 1
文章目录PHP中的
反序列化
漏洞总结:[极客大挑战2019]PHP1看了看源码没什么东西,又看见提示他说有备份网站的好习惯,故我们进行dirsearch进行网站目录扫描importrequests自动扫描网站备份文件自动化脚本
Harder.
·
2024-01-27 00:27
web安全
网络安全
[极客大挑战 2019]PHP1
知识点:1.序列化的属性个数大于实际属性个数可以绕过_wakeup()详见[CTF]PHP
反序列化
总结_ctfphp
反序列化
-CSDN博客2.private属性类名和属性名前都会有多一个NULL,phpstorm
ғᴀɴᴛᴀsʏ
·
2024-01-27 00:56
web
WordPress wp-file-manager 文件上传漏洞 CVE-2020-25213
1.
漏洞复现
WordPress6.2插件:wp-file-manager6.0,FileManager(advancedview)–WordPressplugin|WordPress.org(https
网安Dokii
·
2024-01-26 23:22
android
安全
网络安全
Java笔记(数据流、File、对象流)
文章目录一、数据流1.概述2.使用二、File1.概述2.构造方法3.常用方法4.使用方式5.递归复制三、对象流1.概述2.注意3.序列化4.
反序列化
5.serialVersionUID6.Transient
独行乡窝窝侠
·
2024-01-26 22:08
java
笔记
反序列化
__wakeup()绕过
据陈腾师傅所说:漏洞产生原因:如果存在——wakeup()方法,调用unserilze()方法前则线调用——wakeup()方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时,会tiaoguo——wakeup()的执行。也就是属性个数比你实际个数多。但是限制很大,5file=$file;}function__destruct(){include_once($this->file);e
补天阁
·
2024-01-26 22:39
PHP魔术方法
web安全
wakeup魔术方法绕过
session
反序列化
函数序列化处理的值php_serialize(php>=5.54)经过serlalize()函数序列化处理的数组php_binary键名的长度对应的ASCII字符+键名+经过serialize()函数
反序列化
处理的值
补天阁
·
2024-01-26 22:38
PHP
session反序列化
web安全
Spring Boot 3.x- Servlet Web应用程序开发(Spring MVC)
系列文章目录系列文章:SpringBoot3.x系列教程文章目录系列文章目录前言一、SpringWebMVC1.示例2.SpringMVC自动配置3.HttpMessageConverters4.JSON序列化和
反序列化
laopeng301
·
2024-01-26 19:09
Spring
Boot
3.x教程
java
spring
spring
boot
java-ee
C++:类型转换和IO流
static_castreinterpret_castconst_castdynamic_cast注意RTTI流的概念C++中的IO流标准IO流多组数据的输入和输出问题C++中的文件IO流stringstream序列化和
反序列化
结构数据本篇总结的是类型转换和
海绵宝宝de派小星
·
2024-01-26 19:05
C++
知识总结
c++
算法
开发语言
CVE-2016-2183
漏洞复现
下面是CVE-2016-2183的
漏洞复现
过程:1.安装OpenSSL库:先下载OpenSSL库的源代码,解压并进入解压目录,执行以下命令:```./configmakemakeins
网络战争
·
2024-01-26 17:51
网络安全
log4j
序列化
序想必大家都听过序列化或者是
反序列化
,为什么要序列化呢?如果不序列化会出现什么问题,序列化了有什么好处呢,有哪些序列化的方式呢,在本次分享中都会一一解答。
秃秃少年小猪
·
2024-01-26 15:42
上一页
7
8
9
10
11
12
13
14
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他