E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
反序列化漏洞复现
在Java中进行序列化和
反序列化
对象序列化的目标是将对象保存在磁盘中,或者允许在网络中直接传输对象。对象序列化允许把内存中的Java对象转换成平台无关的二进制流,从而允许把这种二进制流持久保存在磁盘上或者通过网络将这种二进制流传输到另外一个网络节点。其他程序一旦获得了这种二进制流,都可以将这种二进制流恢复成原本的Java对象。序列化的含义和意义序列化机制允许将实现序列化的Java对象转换成字节序列,这些字节序列可以进行持久化或者
游戏原画设计
·
2024-02-09 02:51
log4j2核弹级漏洞靶场复现(反弹shell)
环境搭建:本次
漏洞复现
采用vulfocus的log4j2靶场docker使用Kali系统进行复现实验搭建docker拉取漏洞镜像可参考以下链接:https://blog.csdn.net/weixin_
r00t_BRAVE
·
2024-02-08 21:41
笔记
log4j2
安全漏洞
Apache Log4j2
漏洞复现
(反弹shell)
0x01漏洞描述ApacheLog4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了ApacheLog4j2远程代码执行漏洞。由于ApacheLog4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,ApacheStruts2、ApacheSolr、ApacheDruid、Apa
安全菜
·
2024-02-08 21:41
apache
深入理解Spark BlockManager:定义、原理与实践
在Spark中,BlockManager是其核心组件之一,它负责管理内存和磁盘上的数据块,并确保这些数据块在集群中的各个节点上可以高效地共享和访问,其中包括存储、复制、序列化和
反序列化
数据块,并且负责将这些数据块分发到集群中的各个节点上
涤生大数据
·
2024-02-08 14:57
spark
大数据
分布式
百卓Smart管理平台 uploadfile.php 文件上传漏洞【CVE-2024-0939】
百卓Smart管理平台uploadfile.php文件上传漏洞【CVE-2024-0939】一、产品简介二、漏洞概述三、影响范围四、复现环境五、
漏洞复现
手动复现小龙验证Goby验证免责声明:请勿利用文章内的相关技术从事非法测试
安全攻防赵小龙
·
2024-02-08 13:32
网络安全漏洞复现
php
开发语言
BUUCTF-Real-[Tomcat]CVE-2017-12615
目录漏洞描述一、漏洞编号:CVE-2017-12615二、
漏洞复现
getflag漏洞描述CVE-2017-12615:远程代码执行漏洞影响范围:ApacheTomcat7.0.0-7.0.79(windows
真的学不了一点。。。
·
2024-02-08 11:36
漏洞复现与研究
网络安全
Rebuild企业管理系统 SSRF
漏洞复现
(CVE-2024-1021)
0x01产品简介Rebuild是高度可配置化的企业管理系统!企业内部可免费使用!低代码/零代码快速搭建企业中台、CRM客户关系管理、WMS库存管理、TMS运输管理、SCM供应链管理,外贸管理,甚至是ERP企业资源计划!0x02漏洞概述Rebuild3.5.5版本存在安全漏洞,该漏洞源于组件HTTPRequestHandler的readRawText函数的url参数存在服务器端请求伪造漏洞。0x03
OidBoy_G
·
2024-02-08 05:33
漏洞复现
安全
web安全
用友U8+OA doUpload.jsp 文件上传
漏洞复现
0x01产品简介用友U8+OA经过20多年的市场锤炼,不断贴近客户需求,以全新UAP为平台,应对中型及成长型企业客户群的发展,提供的是一整套企业级数智化升级解决方案,为成长型企业构建精细管理、产业链协同、社交化运营为一体的企业互联网经营管理平台,助力企业应势而变,赢得未来。0x02漏洞概述用友U8+OAdoUpload.jsp接口存在文件上传漏洞,攻击者可通过该漏洞在服务器端写入后门文件,任意执行
OidBoy_G
·
2024-02-08 05:33
漏洞复现
web安全
安全
小迪渗透&CTF夺旗&SRC挖掘(拾叁)
文章目录83.Python考点SSTI&
反序列化
&字符串(83-88)演示案例:涉及资源84.PHP弱类型&异或取反&序列化&RCEPHP常考点弱类型绕过对比总结
反序列化
考点:网鼎杯2020-青龙组-web-AreUserialzpreg_match
进击的网安攻城狮
·
2024-02-08 05:43
python
flask
pycharm
83 CTF夺旗-Python考点SSTI&
反序列化
&字符串
这里写目录标题CTF各大题型简介演示案例:CTF夺旗-Python-支付逻辑&JWT&
反序列化
CTF夺旗-Python-Flask&jinja2&SSTl模版注入CTF夺旗-Python-格式化字符串漏洞
山兔1
·
2024-02-08 05:11
小迪安全
python
开发语言
nacos越权
漏洞复现
1.低版本(nacos<1.4.1)默认白名单UA开启鉴权功能后,服务端之间的请求也会通过鉴权系统的影响。考虑到服务端之间的通信应该是可信的,因此在1.2~1.4.0版本期间,通过User-Agent中是否包含Nacos-Server来进行判断请求是否来自其他服务端。但这种实现由于过于简单且固定,导致可能存在安全问题。因此从1.4.1版本开始,Nacos添加服务身份识别功能,用户可以自行配置服务端
javachen__
·
2024-02-08 04:18
java
服务器
大华智慧园区综合管理平台 /ipms/barpay/pay RCE
漏洞复现
免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。Ⅰ、漏洞描述大华园区综合管理平台可能是一个集成多种管理功能的平台,例如安全监控、设备管理、人员管理等。这样的平台通常有助于提高园区运营效率和安全性。大华园区综合管理平台/i
Love Seed
·
2024-02-08 00:16
安全
web安全
json、xml、protobuf性能对比
1、序列化能⼒对⽐验证在这⾥让我们分别使⽤PB与JSON的序列化与
反序列化
能⼒,对值完全相同的⼀份结构化数据进⾏不同次数的性能测试。
2023框框
·
2024-02-07 23:43
序列化工具
json
xml
【Java安全】ysoserial-URLDNS链分析
前言Java安全中经常会提到
反序列化
,一个将Java对象转换为字节序列传输(或保存)并在接收字节序列后
反序列化
为Java对象的机制,在传输(或保存)的过程中,恶意攻击者能够将传输的字节序列替换为恶意代码进而触发
反序列化
漏洞
Hello_Brian
·
2024-02-07 19:33
代码审计
java
安全
开发语言
安全架构
web安全
【Web】vulhub Fastjson
反序列化
漏洞复现
学习笔记
目录1.2.24RCECVE-2017-18349复现流程原理分析1.2.47RCECNVD-2019-22238复现流程原理分析漏洞探测1.2.24RCECVE-2017-18349复现流程vulhub启动靶场用marshalsec启动LDAP/RMI服务java-cpmarshalsec-0.0.3-SNAPSHOT-all.jarmarshalsec.jndi.LDAPRefServer"h
Z3r4y
·
2024-02-07 18:58
java
java反序列化
fastjson
marshalsec
web
ctf
vulhub
【Kotlin】自定义Json
反序列化
最近在项目中发现之前同事在使用Redis存储对象的时候,给日期字段存了两种不同的日期格式,进而导致查询时
反序列化
报错,因此写了一个注解配置类来自定义
反序列化
的方式。
亦翼
·
2024-02-07 16:51
常用工具类
Kotlin
kotlin
json
java
[SWPUCTF 2021 新生赛]no_wakeup
我们可以看到这是一道
反序列化
的题目但是有他有个wakeup我们需要绕过不然unserialize()会执行里面sha1不可逆加密算法我们只需要在O:6:“HaHaHa”:2:{s:5:“admin”;s
Ryongao
·
2024-02-07 13:36
NSSCTF
网络安全
ctf
NSSCTF
log4j2远程代码执行
漏洞复现
目录描述:代码复现:执行结果:漏洞解决方案:描述:本次ApacheLog4j远程代码执行漏洞,正是由于组件存在JavaJNDI注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发ApacheLog4j2中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码。代码复现:JDK:jdk1.8.0_191开发工具:ideaIU-2018.3.6.win远程代码下载服务器:n
liangbo7
·
2024-02-07 13:43
安全
网神 SecGate 3600 防火墙 route_ispinfo_import_save 文件上传
漏洞复现
0x01产品简介网神SecGate3600防火墙是基于状态检测包过滤和应用级代理的复合型硬件防火墙,是专门面向大中型企业、政府、军队、高校等用户开发的新一代专业防火墙设备,支持外部攻击防范、内网安全、网络访问权限控制、网络流量监控和带宽管理、动态路由、网页内容过滤、邮件内容过滤、IP冲突检测等功能,能够有效地保证网络的安全;产品提供灵活的网络路由/桥接能力,支持策略路由,多出口链路聚合;提供多种智
OidBoy_G
·
2024-02-07 12:50
漏洞复现
web安全
安全
百卓Smart管理平台 uploadfile.php 文件上传
漏洞复现
(CVE-2024-0939)
0x01产品简介百卓Smart管理平台是北京百卓网络技术有限公司(以下简称百卓网络)的一款安全网关产品,是一家致力于构建下一代安全互联网的高科技企业。0x02漏洞概述百卓Smart管理平台uploadfile.php接口存在任意文件上传漏洞。未经身份验证的攻击者可以利用此漏洞上传恶意后门文件,执行任意指令,从而获得服务器权限并操纵服务器文件。0x03影响范围smart_s210smart_s210
OidBoy_G
·
2024-02-07 12:50
漏洞复现
安全
web安全
大华 DSS 数字监控系统 attachment_getAttList.action SQL 注入
漏洞复现
0x01产品简介大华DSS数字监控系统是大华开发的一款安防视频监控系统,拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能。0x02漏洞概述大华DSS存在SQL注入漏洞,攻击者/portal/attachment_getAttList.action路由发送特殊构造的数据包,利用报错注入获取数据库敏感信息。攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个
OidBoy_G
·
2024-02-07 12:20
漏洞复现
安全
web安全
JeePlus快速开发平台 多处 SQL注入
漏洞复现
0x01产品简介JeePlus(洁普斯)是一个软件快速开发平台,使用多种现代Web技术,包括SpringCloud/SpringBoot、MyBatisPlus、SpringSecurity、Redis、Vue3、ElementPlus等。该平台支持多种数据库,如MySQL、Oracle、sqlserver、postgresql等。JeePlus采用标准的SOA架构,依托优秀的前台富客户端框架(如
OidBoy_G
·
2024-02-07 12:50
漏洞复现
sql
web安全
安全
泛微-云桥e-Bridge SQL注入
漏洞复现
0x01产品简介泛微云桥e-BridgeOA是一种基于云计算和移动互联网技术的企业办公自动化(OA)解决方案。它由中国的企业软件开发公司泛微软件开发,旨在帮助企业实现高效的办公管理和协同工作。0x02漏洞概述由于泛微-云桥e-Bridge平台/taste/addTaste接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库权限,获取用户密码等重要凭据,使系统处于极不安全状态。0x
OidBoy_G
·
2024-02-07 11:17
漏洞复现
安全
web安全
【复现】智慧园区综合管理平台文件上传漏洞_40
目录一.概述二.漏洞影响三.
漏洞复现
1.漏洞一:四.修复建议:五.搜索语法:六.免责声明一.概述智慧园区管理平台基于GIS+BIM的云平台数据中心和物联网技术为核心,将各项基础设施连接成一个有机的整体,
穿着白衣
·
2024-02-07 11:46
安全漏洞
安全
web安全
系统安全
网络安全
【复现】泛微-EOfficeOA信息泄露漏洞_41
目录一.概述二.漏洞影响三.
漏洞复现
1.漏洞一:四.修复建议:五.搜索语法:六.免责声明一.概述泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业
穿着白衣
·
2024-02-07 11:14
安全漏洞
安全
web安全
网络安全
系统安全
数据库
【极数系列】ClassNotFoundException: org.apache.flink.connector.base.source.reader.RecordEmitter & 详细分析解决
03原因分析04深入认识4.1flink-connector-base简介概述4.2flink-connector-base功能作用(1)数据源和数据接收器(2)连接器的配置和参数(3)连接器的序列化和
反序列化
浅夏的猫
·
2024-02-07 10:11
Flink专栏
flink
apache
大数据
网络编程-序列化和
反序列化
/应用层协议/
TCP和UDP协议它们是传输层控制协议,也就是在传输层的,今天我们学习的是应用层的协议,它跟序列化和
反序列化
有什么关系呢?先看场景TCP是全双工的,因此它有两个缓冲区,可以同时读和写。
老汉忒cpp
·
2024-02-07 04:18
网络
抖音直播间弹幕解析:点赞,评论,送礼,进入提示等(2:解析protobuf代码)
现在说一下项目的思路吧:1.谷歌浏览器打开live直播间2.mitmproxy捕获live.douyin.comhttp请求并保存响应为指定目录下文件3.watchdog监控步骤2指定目录下文件变化后
反序列化
文件
Softboy_TM
·
2024-02-07 01:09
人工智能实用软件源码工具等分享
python
开发语言
Struts2远程代码执行
漏洞复现
★★免责声明★★文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。1、漏洞介绍Struts2漏洞是一个经典的漏洞系列,根源在于Struts2引入了OGNL表达式使得框架具有灵活的动态性。随着整体框架的补丁完善,现在想挖掘新的Struts2漏洞会比以前困难很多,因为大部分用户早就修复了历史的高危漏洞。
大象只为你
·
2024-02-07 01:30
跟我学网安知识
网络安全
命令执行
漏洞复现
Thinkphp5.0.23远程代码执行
漏洞复现
★★免责声明★★文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。1、漏洞介绍使用Thinkphp5.x远程代码执行漏洞,无需登录即可执行任意命令,获取服务器最高权限。漏洞影响范围:5.x">info.php提交后访问:http://192.168.242.4:8080/info.php,发现解析成
大象只为你
·
2024-02-07 01:29
跟我学网安知识
命令执行
网络安全
漏洞复现
kali系统安装docker和部署vulhub服务
0、前言本文是远程代码执行或命令执行的
漏洞复现
的环境准备之一,后续会分享至少5篇左右的
漏洞复现
的文章。如果想跟着操作的话,那么请一定要抽空实践一下,另外一篇是《kali系统下多版本JDK共存》。
大象只为你
·
2024-02-07 01:59
跟我学网安知识
网络安全
环境搭建
命令执行
log4j2漏洞简单复现
文章目录0x1log4j2漏洞简介0x2log4j2漏洞验证判断0x3log4j2
漏洞复现
利用0x04log4j2漏洞修复方式0x1log4j2漏洞简介log4j2原理:log4j2框架下的lookup
h1dm
·
2024-02-07 01:56
漏洞复现
web安全
java
log4j2
jndi注入
漏洞复现
Log4j2
漏洞复现
Log4j2
漏洞复现
原理介绍因为Log4j2默认支持解析ldap/rmi协议,所以黑客只需构造恶意的JNDI接口,然后服务器通过log4j2解析jndi接口并调用lookup函数,使得服务器去引用黑客构造好的恶意类
Lend me
·
2024-02-07 01:26
log4j
Log4J2漏洞(CVE-2021-44228)原理
目录Apachelog4j2-RCE漏洞一、漏洞简介二、漏洞原理三、靶场
漏洞复现
四、总结Apachelog4j2-RCE漏洞一、漏洞简介ApacheLog4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发
疯癫兄
·
2024-02-07 01:55
log4j
apache
java
安全
GO实现高可用高并发分布式系统:gRPC实现客户端与服务端的一对一通讯
这个过程就涉及到一系列问题,首先A需要把数据进行序列化然后通过网络连接发送给B,B接收到数据后需要进行
反序列化
得到数据原型,进行相应处理得到结果,接着把结果序列化后再传递给A,A收到结果后进行
反序列化
,
tyler_download
·
2024-02-07 00:26
golang
rpc
网络
深入探究:JSONCPP库的使用与原理解析
Value序列化Json::Writer类Json::FastWriter类Json::StyledWriter类Json::StreamWriter类Json::StreamWriterBuilder类示例
反序列化
拖拉机厂第一代码手
·
2024-02-06 21:54
云备份
mfc
c++
【
漏洞复现
】EPON上行A8-C政企网关信息泄露漏洞
Nx03产品主页fofa-query:"ZXECS"&&title=="Webuserlogin"Nx04
漏洞复现
POC:GET/user/local_user_mod.php?
晚风不及你ღ
·
2024-02-06 21:51
【漏洞复现】
安全
web安全
网络
【
漏洞复现
】飞鱼星路由器COOKIE.CGI权限绕过漏洞
Nx03产品主页fofa-query:body="飞鱼星家用智能路由器"Nx04
漏洞复现
访问/index.html抓包,丢弃cookie.cgi废包,其余包正常放行即
晚风不及你ღ
·
2024-02-06 21:51
【漏洞复现】
安全
网络
web安全
【
漏洞复现
】电信网关配置管理系统SQL注入漏洞
Nx01产品简介电信网关配置管理系统是一个用于管理和配置电信网络中网关设备的软件系统。它可以帮助网络管理员实现对网关设备的远程监控、配置、升级和故障排除等功能,从而确保网络的正常运行和高效性能。Nx02漏洞描述电信网关配置管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。Nx03产品主页fofa-query:body="img/dl.gif"&&title="系统登录"Nx04漏洞
晚风不及你ღ
·
2024-02-06 21:51
【漏洞复现】
网络
安全
服务器
web安全
【
漏洞复现
】EPON上行A8-C政企网关未授权下载漏洞
Nx03产品主页fofa-query:"ZXECS"&&title=="Webuserlogin"Nx04
漏洞复现
POC:POST/sys_manager/back_huifu_mod.php
晚风不及你ღ
·
2024-02-06 21:50
【漏洞复现】
网络
web安全
安全
JAVA基础之Serializable和Parcelable接口
https://www.cnblogs.com/jiefeiduan/p/3959411.html序列化:把对象转换为字节序列的过程称为序列化
反序列化
:把字节序列转换为对象的过程称为
反序列化
1.为什么要序列化
BillyJean
·
2024-02-06 21:28
序列化和
反序列化
、pytest-DDT数据驱动
序列化序列化就是将对象转化成文件python转成jsonimportjsondata={"数字":[1,1.1,-1],"字符串":["aaaa",'bbbb'],"布尔值":[True,False],"空值":None,"列表":[[1,2,3],[4,5,6],[7,8,9]],"字典":[{"a":1,"b":2},{"c":3}]}withopen("data.json","w",enco
追梦不止~
·
2024-02-06 17:49
pytest
RPC实战与核心原理
序列化的就是将对象转换成二进制数据的过程,
反序列化
就是
一生逍遥一生
·
2024-02-06 17:50
Java-序列化-详解
什么是序列化和
反序列化
?如果我们需要持久化Java对象比如将Java对象保存在文件中,或者在网络传输Java对象,这些场景都需要用到序列化。
无心六神通
·
2024-02-06 17:46
高级编程
java
开发语言
序列化
XCTF-攻防世界CTF平台-Web类——10、unserialize3(
反序列化
漏洞绕过__wakeup()函数)
打开题目地址:发现是一段残缺的php代码题目名称unserialize3就是
反序列化
,要求我们通过
反序列化
漏洞绕过__wakeup()函数。
大灬白
·
2024-02-06 17:13
#
Bugku
XCTF-WEB类写题过程
前端
php
web
web安全
安全
Aladdin:一款功能强大的.NET Payload
反序列化
和内存执行工具
在该工具的帮助下,广大研究人员可以轻松对.NET程序执行
反序列化
,最终在内存中实现代码执行。
FreeBuf_
·
2024-02-06 17:40
.net
【
漏洞复现
】大华智慧园区综合管理平台bitmap接口存在任意文件上传漏洞
漏洞描述大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。大华智慧园区综合管理平台bitmap接口存在任意文件上传漏洞,但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤,导致攻击者可以通过构造恶意文件并上传到设备上。免责声明技术文章仅供参考,任何个人和组织使用网
丢了少年失了心1
·
2024-02-06 14:06
网络安全
web安全
渗透测试
漏洞复现
漏洞复现
渗透测试
网络安全
文件上传
【
漏洞复现
】likeshop开源免费商用电商系统存在任意文件上传漏洞CVE-2024-0352
漏洞描述Likeshop是Likeshop开源的一个社交商务策略的完整解决方案。Likeshop2.5.7.20210311及之前版本存在代码问题漏洞,该漏洞源于文件server/application/api/controller/File.php的参数file会导致不受限制的上传。免责声明技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害
丢了少年失了心1
·
2024-02-06 14:36
网络安全
web安全
渗透测试
漏洞复现
网络协议
渗透测试
网络安全
漏洞复现
【
漏洞复现
】SpringBlade export-user接口存在SQL注入漏洞
漏洞描述SpringBlade是一个由商业级项目升级优化而来的微服务架构采用SpringBoot2.7、SpringCloud2021等核心技术构建,完全遵循阿里巴巴编码规范。提供基于React和Vue的两个前端框架用于快速搭建企业级的SaaS多租户微服务平台。SpringBladeexport-user接口存在SQL注入漏洞。免责声明技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守
丢了少年失了心1
·
2024-02-06 14:35
网络安全
web安全
渗透测试
漏洞复现
sql
数据库
渗透测试
网络安全
漏洞复现
解决方案:Python中解决“TypeError: Object of type ‘datetime‘ is not JSON serializable”错误
:Objectoftype‘datetime’isnotJSONserializable”错误在Python编程中,经常会使用JSON(JavaScriptObjectNotation)格式来序列化和
反序列化
数据
心之所向,或千或百
·
2024-02-06 13:36
python
json
linux
Python
上一页
1
2
3
4
5
6
7
8
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他