反序列化漏洞复现

Nginx漏洞复现与分析

Nginx如何处理PHP请求Nginx本身不支持直接解析和执行PHP代码,但可以通过与PHP解释器的集成来处理PHP请求。一种常见的方法是使用PHP-FPM(FastCGIProcessManager)作为PHP解释器。原理图:Step1Step2+---------------------++----------------------+|||||客户端应用程序||NginxWeb服务器||||
狗蛋的博客之旅·2023-12-02 00:15

Gson的用法详解

一、简介Gson(又称GoogleGson)是Google公司发布的一个开放源代码的Java库,主要用途为序列化Java对象为JSON字符串,或反序列化JSON字符串成Java对象。
搁浅小泽·2023-12-01 22:42

PHP反序列化字符串逃逸

PHP反序列化字符串逃逸提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录PHP反序列化字符串逃逸前言一、关于反序列化和序列化二、[0ctf2016]unserialize二、prize_p5
M03-Aiwin·2023-12-01 21:33

php反序列化字符逃逸

文章目录php反序列化字符逃逸php反序列化字符逃逸的原理php反序列化字符逃逸分类过滤后字符变多过滤后字符串变少参考文章:php反序列化字符逃逸php反序列化字符逃逸的原理当开发者使用先将对象序列化,
Leekos·2023-12-01 21:00

NSSCTF第14页(2)

[UUCTF2022新生赛]ezpop提示说看看反序列化字符串逃逸PHP反序列化字符串逃逸_php反序列化逃逸-CSDN博客php反序列化字符逃逸_php反序列化逃逸_Leekos的博客-CSDN博客buuctf
呕...·2023-12-01 21:54

Java基础- transient关键字

以下是对transient关键字的详细介绍:1.序列化与反序列化序列化:将对象的状态信息转换为可以存储或传输的形式的过程。反序列化:将已序列化的数据恢复为对象的过程。
青衫客36·2023-12-01 18:17

血的教训---入侵redis并免密登录redis所在服务器漏洞复现

血的教训—入侵redis并免密登录redis所在服务器漏洞复现今天就跟着我一起来入侵redis并免密登录redis所在服务器吧,废话不多说,我们直接开始吧。
刘帅0952·2023-12-01 16:02

通过lua脚本在redis中处理json数据

存储为hash结构在序列化和反序列化的时候稍微麻烦一些,涉及到键值映射关系转换,但是对于字段更新比较方便,通过redis提供的命令就可以完成。而存储为键值对,可以通过相关的
腊笔不小新xingo·2023-12-01 13:20

PHP中原生类SoapClient反序列化的SSRF利用

1.[LCTF2018]bestphp'srevengeindex.phparray(0){}flag.phpsession_start();echo'onlylocalhostcangetflag!';$flag='LCTF{*************************}';if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){$_SESSION['flag'
El.十一·2023-12-01 12:54

Unity优化——脚本优化策略4

目录一、最小化反序列化行为1.1减小序列化对象1.2异步加载序列化对象1.3在内存中保存之前加载过的序列化对象1.4将公共数据移入ScriptableObject二、叠加、异步地加载场景三、创建自定义的
七七喝椰奶·2023-12-01 11:46

Panalog 日志审计系统 前台RCE漏洞复现

0x03复现环境FOFA:app="Panabit-Panalog"0x04漏洞复现PoCPOST/account/sy_query.phpHTTP/1.1Host:your-
OidBoy_G·2023-12-01 11:06

润申信息企业标准化管理系统 SQL注入漏洞复现

0x01产品简介润申信息科技企业标准化管理系统通过给客户提供各种灵活的标准法规信息化管理解决方案,帮助他们实现了高效的标准法规管理,完成个性化标准法规库的信息化建设。0x02漏洞概述润申信息科技企业标准化管理系统CommentStandardHandler.ashx、DefaultHandler.ashx接口处存在SQL注入漏洞。攻击者可利用漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户
OidBoy_G·2023-12-01 11:06

智跃人力资源管理系统 SQL注入漏洞复现

0x01产品简介智跃人力资源管理系统是基于B/S网页端广域网平台,一套考勤系统即可对全国各地多个分公司进行统一管控,成本更低。信息共享更快。跨平台,跨电子设备0x02漏洞概述智跃人力资源管理系统GenerateEntityFromTable.aspx接口处存在SQL注入漏洞,攻击者可通过该漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马
OidBoy_G·2023-12-01 11:06

万户ezOFFICE wpsservlet任意文件上传漏洞复现

0x01产品简介万户OAezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。0x02漏洞概述万户ezOFFICE协同管理平台wpsservlet接口处存在任意文件上传漏洞
OidBoy_G·2023-12-01 11:59

剑指offer 37:序列化二叉树

题目描述:请实现两个函数,分别用来序列化和反序列化二叉树,不对序列化之后的字符串进行约束,但要求能够根据序列化之后的字符串重新构造出一棵与原二叉树相同的树。
姚舜禹_12140·2023-12-01 08:20

网络安全(黑客)—自学

2.渗透技术掌握A.初级渗透首先要学习网络安全的渗透基础内容,包括信息收集,web安全,渗透工具精通,漏洞复现和实战漏洞挖掘B.高级渗透-分方向内容分很多但是整体所需要掌握的内容差
羊村最强沸羊羊·2023-12-01 08:01

网络安全应该怎么学?(0基础小白)

2.渗透技术掌握A.初级渗透首先要学习网络安全的渗透基础内容,包括信息收集,web安全,渗透工具精通,漏洞复现和实战漏洞挖掘B.高级渗透-分方向内容分很多但是整体所需要掌握的内容差
羊村最强沸羊羊·2023-12-01 08:29

Unity框架设计系列专题1.1 Unity 如何设计网络框架

这里有一个游戏开发交流小组,希望大家可以点击进来一起交流一下开发经验呀(1)TCP半包粘包,长连接与短连接,IO阻塞;(2)TcpSocket与UDPSocket的技术方案;(3)Unity的序列化与反序列化技术方案
博毅创为·2023-12-01 06:03

Jackson无缝替换Fastjson

目录文章目录一,Fastjson到Jackson的替换方案方案代码序列化反序列化通过key获取某种类型的值类型替换二,Springboot工程中序列化的使用场景三,SpringMVC框架中的Http消息转换器
Edward*H·2023-12-01 05:37

go学习之json和单元测试知识

文章目录一、json以及序列化1.概述2.json应用场景图3.json数据格式说明4.json的序列化1)介绍2)应用案例5.json的反序列化1)介绍2)应用案例二、单元测试1.引子2.单元测试-基本介绍
留乘船·2023-12-01 04:42

Spring Framework远程代码执行漏洞 CVE-2022-22965 漏洞复现

SpringFramework远程代码执行漏洞CVE-2022-22965漏洞复现和相关利用工具名称:SpringFramework远程命令执行漏洞描述:Springcore是Spring系列产品中用来负责发现
梧六柒·2023-12-01 02:22

Spring Cloud Function Spel表达式注入 CVE-2022-22963 漏洞复现

SpringCloudFunctionSpel表达式注入CVE-2022-22963漏洞复现名称:SpringCloudFunctionSPEL远程代码执行描述:SpringCloudFunction是基于
梧六柒·2023-12-01 02:21

Couchdb 命令执行漏洞复现 (CVE-2017-12636)

Couchdb命令执行漏洞复现(CVE-2017-12636)1、下载couchdb.py2、修改目标和反弹地址3、Python3调用执行即可couchdb.py文件下载地址:https://github.com
梧六柒·2023-12-01 02:51

Externalizable序列化与反序列化

java.io.Externalizable接口的主要目标是促进自定义序列化和反序列化
竹鼠不要中暑·2023-12-01 01:01

Redis String类型存取注意事项

在newtonsoft,jsonV10.0.2版本中如果存入Redis的时候String类型不Json序列化,取出Redis的时候String类型Json反序列化,如果是数字字符串反序列化不报错,如果是中文字符串则反序列化报错
八哥~·2023-12-01 00:27

WEB渗透—反序列化(八)

Web渗透—反序列化课程学习分享(课程非本人制作,仅提供学习分享)靶场下载地址:GitHub-mcc0624/php_ser_Class:php反序列化靶场课程,基于课程制作的靶场课程地址:PHP反序列化漏洞学习
haosha。·2023-12-01 00:49

WEB渗透—反序列化(九)

Web渗透—反序列化课程学习分享(课程非本人制作,仅提供学习分享)靶场下载地址:GitHub-mcc0624/php_ser_Class:php反序列化靶场课程,基于课程制作的靶场课程地址:PHP反序列化漏洞学习
haosha。·2023-12-01 00:46

VNCTF2022 web全复现

web文章目录webGameV4.0gocalc0easyJ4va信息收集获取key反序列化newcalc0非预期PoC1PoC2预期解InterestingPHP解法一解法二GameV4.0前端小游戏题
Pysnow·2023-11-30 22:31

[DASCTF 2023 & 0X401七月暑期挑战赛] web刷题记录

文章目录EzFlask方法一python原型链污染方法二flask框架静态文件方法三pin码计算MyPicDisk方法一字符串拼接执行命令方法二phar反序列化ez_cmsEzFlask考点:python
_rev1ve·2023-11-30 22:30

C#文件操作

FileInfo的主要区别:文件夹操作:Directory:DirectoryInfo:Directory类和DirectoryInfo类的区别:数据操作:读写文件操作的基本步骤:读取操作:写入操作:序列化和反序列化
lixww.cn·2023-11-30 20:37

Aapche Dubbo 不安全的 Java 反序列化 (CVE-2019-17564)

漏洞描述ApacheDubbo是一个高性能的、基于Java的开源RPC框架。ApacheDubbo支持不同的协议,它的HTTP协议处理程序是SpringFramework的.org.springframework.remoting.httpinvoker.HttpInvokerServiceExporterSpringFramework的安全警告显示,HttpInvokerServiceExpor
blackK_YC·2023-11-30 19:10

万户协同办公平台ezoffice未授权访问漏洞

文章目录0x01前言0x02漏洞描述0x03影响范围0x04漏洞环境0x05漏洞复现1.构造POC2.进行MD5值解密3.尝试进行登录0x06复现建议0x01前言本次测试仅供学习使用,如若非法他用,与本文作者无关
gaynell·2023-11-30 18:01

万户协同办公平台未授权访问漏洞复现

前言此文章仅用于技术交流,严禁用于对外发起恶意攻击!!!一、产品简介万户ezOFFICE协同管理平台涵盖门户自定义平台、信息知识平台管理、系统管理平台功能,它以工作流引擎为底层服务,以通讯沟通平台为交流手段,以门户自定义平台为信息推送显示平台,为用户提供集成的协同工作环境。二、漏洞描述该平台存在未授权访问漏洞,攻击者可以从evoInterfaceServlet接口获得系统登录账号和用MD5加密的密
明丨通·2023-11-30 18:31

漏洞复现】泛微 e-office v9.0任意文件上传漏洞(CNVD-2021-49104)

0x02影响范围泛微e-officeV9.00x03漏洞复现访问界面如下修改数据包如下浏览器访问/images/logo/logo-eoffice.php连接WebShell工具P
李火火安全阁·2023-11-30 18:31

漏洞复现】通达OA inc/package/down.php接口存在未授权访问漏洞 附POC

漏洞描述通达OA(OfficeAnywhere网络智能办公系统)是由通达信科科技自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。此外,通达OA通过融合不同的信息化资源,打通信息“孤岛”,精细化
丢了少年失了心1·2023-11-30 18:30

【传送点】上千漏洞复现复现集合 exp poc 持续更新

一简介二传送【漏洞复现】OpenTSDB2.4.0命令注入(CVE-2020-35476)漏洞复现漏洞复现】熊海cms存在sql注入附poc【漏洞复现】ArrayVPN任意文件读取漏洞【漏洞复现】好视通视频会议系统
丢了少年失了心1·2023-11-30 18:00

万户协同办公平台 ezoffice未授权访问漏洞

二、影响版本万户ezoffice三、资产测绘hunterapp.name="万户EzofficeOA"登录页面四、漏洞复现GET/defaultroot/evoInterfaceSer
xiaokp7·2023-11-30 18:58

某 E-Office v9 任意文件上传漏洞复现实战

前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。本文章中的漏洞均为公开的漏洞收集,如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者,望谅解。一、漏洞原理本次复现漏洞为未公开漏洞CNVD-2021-49104,该漏洞是由于e-office其上传模块中用户输入部分未能妥善处理,攻击者可以构造恶意的上传数据包,实现任意代码
0x6270·2023-11-30 18:55

漏洞复现】万户协同办公平台ezoffice SendFileCheckTemplateEdit.jsp接口存在SQL注入漏洞 附POC

漏洞描述万户ezOFFICE协同管理平台是一个综合信息基础应用平台。万户协同办公平台ezofficeSendFileCheckTemplateEdit.jsp接口存在SQL注入漏洞。免责声明技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息
丢了少年失了心1·2023-11-30 18:23

【SpringCloud Alibaba系列】Dubbo高级特性篇

一、序列化Java对象->序列化->流数据流数据->反序列化->Java对象依赖一个公共的相同模块即保
蓝染-惣右介·2023-11-30 15:06

网络安全(黑客技术)—小白学习手册

2.渗透技术掌握A.初级渗透首先要学习网络安全的渗透基础内容,包括信息收集,web安全,渗透工具精通,漏洞复现和实战漏洞挖掘B.高级渗透-分方向内容分很多但是整体所需要掌握的内容差
羊村最强沸羊羊·2023-11-30 14:51

云时空社会化商业 ERP 系统 gpy 文件上传漏洞复现

0x01产品简介时空云社会化商业ERP(简称时空云ERP),该产品采用JAVA语言和Oracle数据库,融合用友软件的先进管理理念,汇集各医药企业特色管理需求,通过规范各个流通环节从而提高企业竞争力、降低人员成本,最终实现全面服务于医药批发、零售连锁企业的信息化建设的目标,是一款全面贴合最新GSP要求的医药流通行业一站式管理系统。0x02漏洞概述时空云社会化商业ERPgpy接口处存在文件上传漏洞,
OidBoy_G·2023-11-30 13:39

云时空社会化商业 ERP 系统 Shiro 反序列化漏洞复现

0x02漏洞概述云时空社会化商业ERP系统存在shiro反序列化漏洞
OidBoy_G·2023-11-30 13:09

云时空社会化商业 ERP 系统 service SQL 注入漏洞复现

0x01产品简介时空云社会化商业ERP(简称时空云ERP),该产品采用JAVA语言和Oracle数据库,融合用友软件的先进管理理念,汇集各医药企业特色管理需求,通过规范各个流通环节从而提高企业竞争力、降低人员成本,最终实现全面服务于医药批发、零售连锁企业的信息化建设的目标,是一款全面贴合最新GSP要求的医药流通行业一站式管理系统。0x02漏洞概述时空云社会化商业ERPservice接口处存在SQL
OidBoy_G·2023-11-30 13:09

一个恋爱小故事告诉你什么是gRPC?!

后者是网络传输中的协议,而RPC是一种设计、实现框架,通讯协议只是其中一部分,RPC不仅要解决协议通讯的问题,还有序列化与反序列化,以及消息通知。
上山打 老虎·2023-11-30 13:36

H3C CVM 前台任意文件上传漏洞复现

0x01产品简介H3C公司依托其强大的技术实力、产品与服务优势,以及深入人心的以客户为中心的理念,为企业数据中心IaaS云计算基础架构提供最优化的虚拟化与云业务运营解决方案。通过H3CCASCVM虚拟化管理系统实现数据中心虚拟化环境的中央管理控制,以简洁的管理界面,统一管理数据中心内所有的物理资源和虚拟资源,不仅能提高管理员的管控能力、简化日常例行工作,更可降低IT环境的复杂度和管理成本。0x02
OidBoy_G·2023-11-30 13:30

Spring Cloud Function SpEL表达式命令注入(CVE-2022-22963)漏洞复现

一、漏洞简介SpringCloudFunction是一个用于构建和部署基于函数的微服务的框架。它使用SpEL表达式来处理函数的输入和输出。SpEL是一种强大的表达式语言,它允许开发人员在运行时动态地计算表达式。由于SpringCloudFunction中RoutingFunction类的apply方法将请求头中的"spring.cloud.function.routing-expression"参
YiHua_yiye·2023-11-30 12:22

vulhub struts2 s2-001漏洞复现

S2-001远程代码执行漏洞0x01原理该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL表达式解析,所以可以直接构造Payload进行命令执行。0x02环境进入vluhubstrut
YiHua_yiye·2023-11-30 12:52

ThinkPHP5 5.0.23 远程代码执行漏洞复现

ThinkPHP55.0.23远程代码执行漏洞0x01形成原因是由于框架对控制器名没有进行敏感字符检测,导致在没有开启强制路由的情况下可能导致远程代码执行。0x02影响的版本5.0.23和5.1.31之前的所有版本0x03启动环境docker-composeup-d访问靶机ip+端口号80800x04漏洞利用使用burp抓到首页的包改变传参方式GET改为POST修改参数url参数/index.ph
YiHua_yiye·2023-11-30 12:52

java的序列化和反序列化详解及示例

文章目录一、Java序列化的作用二、实现java对象的序列化和反序列化1、序列化规则2、序列化步骤3、注意事项三、序列化接口Serializable1、介绍2、示例四、实现接口Externalizable1
一瓢一瓢的饮 alanchan·2023-11-30 12:44
上一页 28 29 30 31 32 33 34 35 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他