反序列化漏洞复现

漏洞复现】奥威亚 教学视频应用服务平台任意文件上传漏洞

漏洞描述AVA教学视频应用服务平台是由广州市奥威亚电子科技有限公司基于当前教育视频资源建设的背景及用户需求的调研,开发出来能够适应时代发展和满足学校需求,具有实效性、多功能、特点鲜明的平台。该平台存在任意文件上传漏洞,通过此漏洞攻击者可上传webshell木马,远程控制服务器。免责声明技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全
丢了少年失了心1·2023-12-21 14:12

漏洞复现】CVE-2023-6895 IP网络对讲广播系统远程命令执行

漏洞描述杭州海康威视数字技术有限公司IP网络对讲广播系统。海康威视对讲广播系统3.0.3_20201113_RELEASE(HIK)存在漏洞。它已被宣布为关键。该漏洞影响文件/php/ping.php的未知代码。使用输入netstat-ano操作参数jsondata[ip]会导致os命令注入。开发语言:PHP开发厂商:杭州海康威视数字技术有限公司免责声明技术文章仅供参考,任何个人和组织使用网络应当
丢了少年失了心1·2023-12-21 14:39

Hive Serde

HiveSerde目的:HiveSerde用来做序列化和反序列化,构建在数据存储和执行引擎之间,对两者实现解耦。
新鲜氧气·2023-12-21 14:29

client报错golang : grpc : error while marshaling: proto: Marshal called with nil

errorwhilemarshaling:proto:Marshalcalledwithnil分析:加log.Info查看每个断言状态,当然也可以debug模式排查,随后发现在判断读取数据错误,应该是反序列化
赛博朋克2078·2023-12-21 13:37

mangokit:golang web项目管理工具,使用proto定义http路由和错误

实现2.1protobuf插件开发2.2mangokit工具3、使用示例3.1创建新项目3.2添加新的proto文件3.3代码生成前言在使用gin框架开发web应用时,需要我们自己手动完成请求到结构体的反序列化
CoreDump丶·2023-12-21 13:01

模拟Leetcode通过字符串生成二叉树

二叉树的反序列化通过一个字符串来实现构造一棵二叉树,方便在leetcode刷题时进行本地调试例题297.二叉树的序列化与反序列化实现方案代码逻辑:将字符串中的数据提取出来,存放到vector容器中使用索引
逸枚俗人·2023-12-21 09:44

Oracle WebLogic Server远程代码执行漏洞 CVE-2020-14750 已亲自复现

OracleWebLogicServer远程代码执行漏洞CVE-2020-14750已亲自复现漏洞名称漏洞描述影响版本漏洞复现环境搭建漏洞利用修复建议漏洞名称漏洞描述OracleFusionMiddleware
Bolgzhang·2023-12-21 08:10

Apache Tomcat httpoxy 安全漏洞 CVE-2016-5388 已亲自复现

ApacheTomcathttpoxy安全漏洞CVE-2016-5388已亲自复现漏洞名称漏洞描述影响版本漏洞复现环境搭建漏洞利用修复建议总结漏洞名称漏洞描述在ApacheTomcat中发现了一个被归类为关键的漏洞
Bolgzhang·2023-12-21 08:10

Parcelable 和Serializable浅析

Serializable接口Serializable是java提供的一个序列化接口,它是一个空接口,为对象提供序列化和反序列化操作。
嘉伦哥·2023-12-21 08:32

红队系列-内网横向

内网横向渗透测试-内网横向MS-17010利用方法总结原理介绍漏洞利用MSFLadon渗透测试-从公有云到内网漫游RCE-反序列化-frp0x01前言0x02前期打点0x03想办法打内网0x04对上面的
amingMM·2023-12-21 06:19

Apache Shiro漏洞复现

服务攻防-框架安全&CVE复现&ApacheShiro&ApacheSolr漏洞复现中间件列表中间件及框架列表:IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos
黑客大佬·2023-12-21 05:47

漏洞复现-log4j2原理分析及CVE-2021-44228

log4j2原理分析及漏洞复现0x01log4j2简介Log4j2是一个用于Java应用程序的成熟且功能强大的日志记录框架。
黑客大佬·2023-12-21 05:46

反序列化 [SWPUCTF 2021 新生赛]ez_unserialize

打开题目查看源代码得到提示,那我们用御剑扫描一下看看我们知道有个robots.txt,访问一下得到那我们便访问一下cl45s.php看看得到网站源代码admin="user";$this->passwd="123456";}publicfunction__destruct(){if($this->admin==="admin"&&$this->passwd==="ctf"){include("fl
访白鹿·2023-12-20 23:25

【Dubbo】默认hession2反序列化机制导致dubbo接口返回HashMap

java.lang.ClassCastException:java.util.HashMapcannotbecasttoxxxx异常经过排查发现,是因为dubbo接口返回的不是xxxx对象,而是HashMap源码分析dubbo的反序列化机制默认是
太空眼睛·2023-12-20 23:19

Java解惑之创建对象是否一定需要构造函数

Classc=A.class;Aa=c.newInstance();该方法会调用无参的构造函数clone方法要使用clone方法,我们需要先实现Cloneable接口并实现其定义的clone方法不会调用构造函数反序列化
sofarsogoo_932d·2023-12-20 19:30

linux网络版计算机

文章目录前言一、网络版计算机1.序列化与反序列化2.网络版计算机实现3.守护进程4.json格式前言一、网络版计算机1.序列化与反序列化协议是一种“约定”.socketapi的接口,在读写数据时,都是按
dong132697·2023-12-20 19:54

Jackson 注解及配置大全

Jackson注解主要分成三类,一是只在序列化时生效的注解;二是只在反序列化时候生效的注解;三是两种情况下都生效的注解。多态注解对象双向引用及对象ID@JsonManagedRefer
myprince003·2023-12-20 19:51

某电子文档安全管理系统 SQL注入漏洞复现

漏洞介绍亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据部门涉密程度的不同(如核心部门和普通部门),部署力度轻重不一的梯度式文档加密防护,实现技术、管理、审计进行有机的结合,
keepb1ue·2023-12-20 15:04

某电子文档安全管理系统存在任意用户登录漏洞

资产测绘Hunter语法:web.icon==“9fd216c3e694850445607451fe3b3568”漏洞复现获取CookiePOST/CDGServer3/LinkFilterServiceHTTP
keepb1ue·2023-12-20 15:34

泛微e-cology XmlRpcServlet文件读取漏洞复现

漏洞介绍泛微新一代移动办公平台e-cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件、实体签章的方式。泛微OAE-Cology平台XmRpcServlet接口处存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。FOFAapp=“泛微-OA(e-cology)”漏洞复
keepb1ue·2023-12-20 15:34

C#中的反射使用

反射的基本概念1.类型(Type)2.成员(Member)3.实例化对象和调用方法4.修改对象的属性值反射的应用场景1.插件化开发2.序列化和反序列化3.单元测试4.动态代理反射的性
故事不长丨·2023-12-20 14:14

Fastjson反序列化远程代码执行漏洞

5月23日,绿盟科技CERT监测到Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行
小云很优秀·2023-12-20 13:03

springMVC利用FastJson接口返回json数据配置

2、使用fastjson的序列化和反序列化替换javaserialize,javaserialize不单性能慢,而且体制大。
欢乐时光欢乐你我·2023-12-20 13:08

大华 DSS 登录接口Struct2-045漏洞复现 [附POC]

文章目录大华DSS登录接口Struct2-045漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现大华DSS登录接口Struct2
gaynell·2023-12-20 13:11

Tenda账号密码泄露漏洞复现 [附POC]

文章目录Tenda账号密码泄露漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现Tenda账号密码泄露漏洞复现[附POC
gaynell·2023-12-20 13:41

如何用Java实现在受限环境中使用反序列化漏洞进行提权的攻击?

首先需要了解反序列化漏洞的基本原理和特点,以及受限环境下的限制。反序列化漏洞是指在反序列化对象时由于输入的序列化数据中存在恶意构造或缺陷,导致程序在解析过程中执行恶意代码。
wxchqaz·2023-12-20 11:47

shiro漏洞部分修复方法

1.shiro反序列化漏洞解决方案:https://blog.csdn.net/ying_521125/article/details/1098938502.Xss漏洞攻击:在程序内配有java类XssHttpServletRequestWrapperNew
ghx123456ghx·2023-12-20 08:09

发送java字节码的数据包

一些Java反序列化漏洞在利用时,要发送Java序列化值(字节码)到服务器。我们在使用一些工具生成字节码后,可以通过python或者burp发送。
st3pby·2023-12-20 06:26

fastjson1.2.24 反序列化漏洞(CVE-2017-18349)分析

FastJson在TemplatesImpl#getTransletInstance()->TemplatesImpl#defineTransletClasses()->TransletClassLoader#defineClass()基于此,我们可以写出如下POC:importcom.alibaba.fastjson.JSON;importcom.alibaba.fastjson.parser.
st3pby·2023-12-20 06:49

SpringBlade export-user SQL 注入漏洞复现

0x01产品简介SpringBlade是一个由商业级项目升级优化而来的SpringCloud分布式微服务架构、SpringBoot单体式微服务架构并存的综合型项目。0x02漏洞概述SpringBladev3.2.0及之前版本框架后台export-user路径存在安全漏洞,攻击者利用该漏洞可通过组件customSqlSegment进行SQL注入攻击,攻击者可将用户名、密码等敏感信息通过excel导出
OidBoy_G·2023-12-20 02:59

OneBlog Shiro 反序列化漏洞复现

0x02漏洞概述OneBlogv2.2.2及之前的版本存在shiro反序列化漏洞,该漏洞源于软件存在硬编码的shiro-key,攻击者可利用该key生成恶意的序列化数据,在服务器上执行任意代码,执行系统命令
OidBoy_G·2023-12-20 02:59

Tosei 自助洗衣机 network_test.php RCE漏洞复现

0x03复现环境FOFA:body="tosei_login_check.php"0x04漏洞复现PoCPOST/cgi-bin/network
OidBoy_G·2023-12-20 02:58

瑞友天翼应用虚拟化系统 多处SQL 注入漏洞复现(可RCE)

0x01产品简介瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。0x02漏洞概述瑞友天翼应用虚拟化系统存在多处SQL注入漏洞,未经身
OidBoy_G·2023-12-20 02:58

RPC和注册中心的简介

网络调用RPC假设一个web调用另外一个service就符合RPC协议在网络传输中的数据是序列化及返回为反序列化传输什么是RPC:RPC(RemoteProcedureCallProtocol)——远程过程调用协议
有心丶人·2023-12-19 20:54

Flink 数据类型 & TypeInformation信息

它们需要被序列化和反序列化,以便通过网络传送它们;或者从状态后端、检查点和保存点读取它们。为了有效地做到这一点,Flink需要明确知道应用程序所处理的数据类型。
程序猿进阶·2023-12-19 16:54

Java序列化、反序列化-为什么要使用序列化?Serializable接口的作用?

什么是序列化和反序列化?把对象转换成字节序列把字节序列恢复成对象结合OSI七层协议模型,序列化和反序列化是在那一层做的?在OSI七层模型中,序列化工作的层级是表示层。
邓礼梅·2023-12-19 15:21

JDK各个版本特性讲解-JDK17特性

JAVA17概述二、语法层面的变化1.JEP409:密封类2.JEP406:switch模式匹配(预览)三、API层面变化1.JEP414:VectorAPI(第二个孵化器)2.JEP415:特定于上下文的反序列化过滤器四
不走小道·2023-12-19 15:41

apache shiro 反序列化漏洞解决方案

apacheshiro反序列化漏洞解决方案反序列化漏洞解决方案产生原因解决方案1:1.升级shiro至最新版本1.7.1解决方案2:修改rememberMe默认密钥,生成随机密钥。
haokan_Jia·2023-12-19 14:57

Apache CouchDB 垂直权限绕过漏洞 CVE-2017-12635 已亲自复现

ApacheCouchDB垂直权限绕过漏洞CVE-2017-12635已亲自复现漏洞名称影响版本影响版本漏洞复现环境搭建漏洞利用总结漏洞名称影响版本ApacheCouchDB是一个开源的NoSQL数据库
Bolgzhang·2023-12-19 14:21

python的json库下载_python基础之JSON标准库

反序列化:从数据流(字符串形式)重新构造复杂的python数据结构。序列化
蒋叶光·2023-12-19 09:56

C++json库nlohmannjson使用介绍

1、简介最近项目中需要使用C++Json序列化和反序列化,顺便调研了下目前比较好用的C++json库,发现nlohmann/json应该是其中相对较好的json库。
HunterFlying·2023-12-19 09:55

ThinkPhp5.0.x远程RCE复现

0x2漏洞复现首先去ThinkPhP官网下载他的一个框架:http://www.thinkphp.cn/down.html11.png在这里我选择的是ThinkPHP5.0.22完整版,大家可以下载其他版本
_saulGoodman_·2023-12-19 09:44

MS08-067漏洞复现

前言漏洞描述:MicrosoftWindowsServer服务RPC请求缓冲区溢出漏洞Windows的Server服务在处理特质RPC请求时存在缓冲区溢出漏洞,远程攻击者可以通过发送恶意的RPC请求触发这个溢出,导致完全入侵用户系统,SYSTEM权限执行任意指令。对于Windows2000、XP和Server2003,无需认证便可以利用该漏洞;对于WindowsVista和Server2008,可
Tongyu小小白·2023-12-19 08:10

永恒之蓝漏洞复现

前言漏洞描述:MicrosoftWindowsSMBServer远程代码执行漏洞MicrosoftServerMessageBlock1.0(SMBv1)服务器处理某些请求时,在实现上存在远程代码执行漏洞,成功利用后可使攻击者在目标服务器上执行任意代码。如果攻击失败,会导致拒绝服务,对业务造成一定安全风险。MicrosoftWindowsServer2016、MicrosoftWindowsSer
Tongyu小小白·2023-12-19 08:09

C# 序列化&反序列化

序列化和反序列化序列化(Serialization)是将对象转换为可存储或传输的格式的过程,以便在需要时可以重新创建对象。
酱香拿钢·2023-12-19 08:08

漏洞复现】华为Auth-Http服务文件读取漏洞

Nx01产品简介HuaweiAuth-HTTPServer1.0可以实现基于角色的访问控制,通过用户的身份认证和权限控制,确保只有经过授权的用户可以访问特定的资源和服务。它支持常见的身份认证协议和技术,如LDAP、RADIUS、TACACS+等,能够与企业现有的认证系统无缝集成,提供一致的认证体验。Nx02漏洞描述华为Auth-Http服务存在文件读取漏洞。访问umweb/passwd可以读取文件
晚风不及你ღ·2023-12-19 08:28

漏洞复现】Node.js 目录穿越漏洞(CVE-2017-14849)

文章目录1.1、漏洞描述1.2、影响版本1.3、漏洞复现1、基础环境2、漏洞验证3、漏洞分析1.4、参考1.1、漏洞描述原因是Node.js8.5.0对目录进行normalize操作时出现了逻辑错误,导致向上层跳跃的时候
过期的秋刀鱼-·2023-12-19 07:50

你不得不知道的对象的序列化和反序列化

对象的序列化和反序列化序列化(Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。
不学无数的程序员·2023-12-19 04:42

金和OA jc6 clobfield SQL注入漏洞复现

0x01产品简介金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。0x02漏洞概述金和OAjc6/jc6/servlet/clobfield接口处存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写
OidBoy_G·2023-12-19 03:33

MeterSphere files 任意文件读取漏洞复现 (CVE-2023-25573)

0x01产品简介MeterSphere是一站式开源持续测试平台,涵盖测试跟踪、接口测试、UI测试和性能测试等功能,全面兼容JMeter、Selenium等主流开源标准。0x02漏洞概述MeterSphere/api/jmeter/download/files路径文件存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态
OidBoy_G·2023-12-19 03:32
上一页 22 23 24 25 26 27 28 29 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他