Typecho反序列化漏洞复现

PHP序列化总结1--序列化和反序列化的基础知识

序列化和反序列化的作用1.序列化:将对象转化成数组或者字符串的形式2.反序列化:将数组或字符串的形式转化为对象为什么要进行序列化这种数据形式中间会有很多空格,不同人有不同的书写情况,可能还会出现换行的情况为此为了方便数据传输
网安?阿哲·2023-12-30 20:37

【教程】Typecho Joe主题开启并修复壁纸相册不显示问题

转载请注明出处:小锋学长生活大爆炸[xfxuezhang.cn]背景说明Joe主题本身支持“壁纸”功能,其实就是相册。当时还在网上找了好久相册部署的开源项目,太傻了。但是网上教程很少,一没说如何开启壁纸功能,二没说开启后为何不显示图片,三没说如何显示自定义图片。通过层层深扒源码,我已经成功修复并实现了上述问题。所以,这个重任还是由我来吧。接下来将是非常详细的图文教程,小白有手就行。开启壁纸进入后台
小锋学长生活大爆炸·2023-12-30 19:12

nginx环境CORS 跨域漏洞修复

1、漏洞报告2、漏洞复现curl-H‘Origin:https://www.baidu.com’http://127.0.0.1:803、漏洞修复(nginx)location/myProject/api
core512·2023-12-30 16:15

Unity JSON编码解码之LitJson 深度剖析

把LitJson的代码库放入到项目中,如图所示:JSON在游戏开发中是一种序列化/反序列化常用的技术,把游戏相关的数据,如地图组成,通过JSON编码,序列化成JSON文本,传输或存储,要使用的时候再通过
爱编程的鱼·2023-12-30 14:37

DjangoRestFramework概括

一drf入门规范前后端开发模式:混合、分离API接口:地址、请求方法、请求参数、返回值测试软件的使用:postman、Apifox等序列化和反序列化restful规范:比如http响应状态码在Django
N10N11·2023-12-30 12:48

【Java中序列化的原理是什么(解析)】

如果序列化后的文件或者原始类被篡改,还能被反序列化吗?serialVersionUID有何用途?如果没定义会有什么问题?在Java中,有哪些好的序列化框架,有什么好处?
昕宝爸爸爱编程·2023-12-30 09:23

Django 序列化和反序列化(九)

一、什么是序列化和反序列化?将程序中的一个数据结构类型转换为其他格式(字典、JSON、XML等),例如将Django中的模型类对象装换为JSON字符串,这个转换过程我们称为序列化。
凌冰_·2023-12-30 07:45

从0到1浅析Redis服务器反弹Shell那些事

/etc/profile.d->反弹shell2.4写入ssh公钥登录服务器2.5利用Redis主从复制RCE2.6SSRF漏洞组合拳->RCE总结前言2020年曾在渗透测试-WeblogicSSRF漏洞复现一文中通
Tr0e·2023-12-30 07:39

基础知识点-对象&方法&接口

1、如何实现对象克隆1)实现Cloneable接口并重写Object类中的clone();2)实现Serializable接口,通过对象的序列化和反序列化实现克隆,可以实现深度克隆;2、深拷贝和浅拷贝区别
夏与清风·2023-12-30 07:04

RabbitMQ消息存储JSON格式反序列化

需要实现数据反序列化操作。
码王JUN·2023-12-30 07:13

最新Jasmine博客模板:简洁美观的自适应Typecho主题

Jasmine是一个专为博客类网站设计的Typecho主题。它以简洁为基础,力求展现出精致而美观的风格。主题采用了响应式设计,即使在移动设备上也能提供良好的使用体验。
软希源码·2023-12-30 05:42

Apereo CAS 4.1 反序列化命令执行漏洞

一、环境搭建二、访问三、准备工具https://github.com/vulhub/Apereo-CAS-Attack/releases/download/v1.0.0/apereo-cas-attack-1.0-SNAPSHOT-all.jar四、生成加密后的payloadjava-jarapereo-cas-attack-1.0-SNAPSHOT-all.jarCommonsCollectio
黄公子学安全·2023-12-30 05:15

[HUBUCTF 2022 新生赛]checkin

[HUBUCTF2022新生赛]checkinwp进入页面,代码如下:一开始看得有点懵,反序列化题怎么没有类呢,然后就在找类在哪,没找到。后来看了大佬的wp才理清了思路。
妙尽璇机·2023-12-30 05:11

EyouCMSv1.5.1漏洞复现

赞赞网络科技EyouCMS(易优CMS)是中国赞赞网络科技公司的一套基于ThinkPHP的开源内容管理系统(CMS)。Eyoucmsv1.5.1及以前版本存在任意用户后台登陆与文件包含漏洞,该漏洞使攻击者可以通过调用api,在前台设置一个管理员的session,后台远程插件下载文件包含getshell。漏洞描述eyoucms是一款广泛使用的开源CMS系统,然而最近发现该系统存在多个漏洞,使得攻击者
失之一灵·2023-12-30 02:58

fastjson序列化与反序列化的忽略

二.思路在A对象中的List去设置支持反序列化,但不序列化。三.实践PublicclassA
弗锐土豆·2023-12-30 02:24

Java代码审计系列之 JNDI注入

0x01前言在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念,其中RMI是一个基于序列化的Java远程方法调用机制。
风炫安全·2023-12-30 00:55

思福迪运维安全管理系统 任意文件读取漏洞

攻击者可通过该漏洞在服务器端读取任意文件敏感内容,可能导致攻击者后续获取到相关的服务器权限资产测绘banner=“Set-Cookie:bhost=”||header=“Set-Cookie:bhost=”漏洞复现
keepb1ue·2023-12-29 22:00

用友时空KSOA sKeyvalue SQL注入漏洞复现

产品简介用友KSOA是用友集团推出的一款基于SOA架构的企业级应用平台,旨在为企业提供全面的信息化解决方案。它包括了多个模块,如财务管理、人力资源管理、供应链管理等,可以帮助企业实现数字化转型。它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。漏洞概述用友时空KSOA/servlet/ima
keepb1ue·2023-12-29 22:00

思福迪运维安全管理系统 test_qrcode_b RCE漏洞复现

攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器资产测绘banner=“Set-Cookie:bhost=”||header=“Set-Cookie:bhost=”漏洞复现
keepb1ue·2023-12-29 22:30

weblogic 文件上传 (CVE-2018-2894)漏洞复现

1.漏洞描述OracleFusionMiddleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。OracleWebLogicServer是其中的一个适用于云环境和传统环境的应用服务器组件。WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/b
weixin_42675091·2023-12-29 20:26

漏洞复现】CVE-2018-2894-weblogic任意文件上传

环境准备docker-composelogs|greppassword可以查看管理员用户名密码docker启动环境后访问http://192.168.77.141:7001-->404页面-->http://192.168.77.141:7001/console后台登录页面设置base_domain-->启用web服务测试页漏洞详情OracleFusionMiddleware(Oracle融合中间
net user·2023-12-29 20:56

weblogic任意文件上传漏洞复现(CVE-2018-2894)

weblogic任意文件上传漏洞复现(CVE-2018-2894)漏洞限制环境搭建漏洞复现使用工具漏洞限制需要登录需要写权限环境搭建本次漏洞为了更真实的模拟实际环境,使用vulhub在vps上搭建。
dydymm·2023-12-29 20:56

Weblogic 任意文件上传漏洞(CVE-2018-2894)复现

目录weblogic漏洞环境准备漏洞复现修复建议weblogicWebLogic是美国Oracle公司出品的一个applicationserver,确切的说是一个基于JAVAEE架构的中间件,WebLogic
Dalean.·2023-12-29 20:55

WebLogic 任意文件上传(CVE-2018-2894)漏洞复现

WebLogic任意文件上传(CVE-2018-2894)漏洞复现一、漏洞概述1、漏洞编号:CVE-2018-28942、漏洞描述:Weblogic管理端未授权的两个页面存在任意上传getshell漏洞
橘子女侠·2023-12-29 20:25

Weblogic CVE-2018-2894 任意文件上传漏洞

CVE-2018-2894漏洞简介环境搭建漏洞复现漏洞简介Oracle7月更新中,修复了WeblogicWebServiceTestPage中一处任意文件上传漏洞,WebServiceTestPage在
又一次花海·2023-12-29 20:55

Weblogic 任意文件上传漏洞(CVE-2018-2894)

详细请看:https://vulhub.org/#/environments/weblogic/CVE-2018-2894/漏洞复现访问http://your-ip:7001/ws_utc/config.do
小 白 萝 卜·2023-12-29 20:52

Easy File Sharing Web Server漏洞复现任务和Metasploit应用

实验环境:win7靶机,kali一EasyFileSharingWebServer漏洞复现任务首先在win7的靶机上配置好EasyFileSharingWebServer,打开之后如下图直接点击Tryit
dawsw·2023-12-29 18:48

SpringBoot 接口对数据枚举类型的入参以及出参转换处理

3.1.1、定义枚举基础接口`BaseEnum`,每个枚举都实现该接口3.1.2、性别Sex枚举并实现接口`BaseEnum`3.1.3、定义BaseEnum枚举接口序列化3.1.4、自定义Enum枚举接口反序列化
村口老师傅·2023-12-29 17:11

漏洞复现(三):Apache HTTP Server漏洞(CVE-2021-41773 - 目录穿越引起的文件读取与命令执行)

目录漏洞简介漏洞复现一.Vulnerablefilereadconfig(易受攻击的文件读取配置)环境搭建漏洞利用二、VulnerableRCEconfig(易受攻击的RCE配置)环境搭建漏洞利用漏洞修复漏洞简介该漏洞是由于
源十三·2023-12-29 13:32

apache-CVE-2021-41773[42013]-漏洞复现

apache-CVE-2021-41773[42013]CVE-2021-41773影响范围为2.4.49CVE-2021-42013影响范围为2.4.49/50漏洞验证41773和42013在10月份时,被暴出目录穿越和远程命令执行,虽然只影响了apache的49/50版本,但是RCE漏洞,POC已公开,还是有较强的杀伤力。为了快速验证一下该漏洞,使用vulfocus提供的在线的靶场,开启应用,
csd_ct·2023-12-29 13:30

CVE-2021-41773(Apache 文件读取&命令执行)复现

3.漏洞复现1、浏
張童學·2023-12-29 13:29

PHP反序列化-__wakeup()方法漏洞(CVE-2016-7124)

写在前面wakeup()是在反序列化的基础之上进行的,如果你不是很清楚反序列化漏洞,可以点击下方:反序列化漏洞漏洞影响的版本PHP5";classctf{protected$username='hack
sayo.·2023-12-29 12:05

feign返回参数为统一转化

扩充:jackson进行反序列化时,如果类型参数是JavaType,则使用泛型接收时,泛型需要和报文对应,不能使用string进行统一接收,再做处理。
攻心的子乐·2023-12-29 08:34

xxl-job弱口令登录后台RCE复现渗透测试

漏洞复现1.登录界面如下使用弱口令登
烽铃子·2023-12-29 07:44

drf知识-08

Django之了解DRF框架#介绍:DRF全称djangorestframework#背景:在序列化与反序列化时,虽然操作的数据不尽相同,但是执行的过程却是相似的,也就是说这部分代码是可以复用简化编写的增
糖果爱上我·2023-12-29 03:36

关于设计模式、Java基础面试题

细分起来就有9种:懒汉(初始加载资源过多时使用)、饿汉、静态内部类、枚举(防止反序列化创建新对象)、ThreadLocal单例建造者模式和工厂方法模式的区别是什么?
微风至夏·2023-12-29 00:38

php反序列化漏洞原理、利用方法、危害

文章目录PHP反序列化漏洞1.什么是PHP反序列化漏洞?2.PHP反序列化如何工作?3.PHP反序列化漏洞是如何利用的?4.PHP反序列化漏洞的危害是什么?5.如何防止PHP反序列化漏洞?
白帽安全-黑客4148·2023-12-28 22:29

Weblogic反序列化远程命令执行(CVE-2019-2725)

漏洞描述:CVE-2019-2725是一个Oracleweblogic反序列化远程命令执行漏洞,这个漏洞依旧是根据weblogic的xmldecoder反序列化漏洞,通过针对Oracle官网历年来的补丁构造
慕筱蚺·2023-12-28 22:41

xstream 远程代码执行 CVE-2021-29505 已亲自复现

xstream远程代码执行CVE-2021-29505已亲自复现漏洞名称漏洞描述影响版本漏洞复现环境搭建漏洞利用修复建议总结漏洞名称漏洞描述XStream是用于将Java对象序列化为XML并再次序列化的软件
Bolgzhang·2023-12-28 20:27

thinkcmf 文件包含 x1.6.0-x2.2.3 已亲自复现

thinkcmf文件包含x1.6.0-x2.2.3CVE-2019-16278已亲自复现漏洞名称漏洞描述影响版本漏洞复现环境搭建漏洞利用修复建议总结漏洞名称漏洞描述ThinkCMF是一款基于PHP+MYSQL
Bolgzhang·2023-12-28 20:27

FasterXML Jackson-databind远程代码执行漏洞 CVE-2020-8840 已亲自复现 未完成

FasterXMLJackson-databind远程代码执行漏洞CVE-2020-8840已亲自复现漏洞名称漏洞描述影响版本漏洞复现环境搭建漏洞利用修复建议总结漏洞名称漏洞描述受影响版本的jackson-databind
Bolgzhang·2023-12-28 20:26

ThinkPHP6.0任意文件上传 PHPSESSION 已亲自复现

ThinkPHP6.0任意文件上传PHPSESSION已亲自复现漏洞名称漏洞描述影响版本漏洞复现环境搭建安装thinkphp6漏洞信息配置漏洞利用修复建议漏洞名称漏洞描述2020年1月10日,ThinkPHP
Bolgzhang·2023-12-28 19:22

Springboot使用alibaba的fastjson序列化和反序列化报错:Text ‘2023-12-26 00:00:00‘ could not be parsed at index 10

分析并解决步骤1.完整错误代码展示2.主要错误代码展示3.原来使用alibaba.fastjson的Maven4.错误原因是使用的fastjson的版本不正确,需要更新到1.2.12或者以上5.我的序列化配置类如下:6.LocalDateTimeSerializer类1.完整错误代码展示com.alibaba.fastjson.JSONException:Text'2023-12-2600:00:
爱北的琳儿·2023-12-28 16:48

pickle反序列化

文章目录基础知识pickle简介可序列化对象`object.__reduce__()`函数pickle过程详细解读opcode简介pickletools漏洞利用利用思路如何手写opcode工具pker实战例题[MTCTF2022]easypickle[HZNUCTF2023preliminary]pickle基础知识pickle简介与PHP类似,python也有序列化功能以长期储存内存中的数据。p
_rev1ve·2023-12-28 15:12

CVE-2017-12794_Django debug page XSS漏洞

一、影响版本Django<1.10.8Django<1.11.5二、漏洞复现1、vulhub搭建环境2、首次向数据库中插入数据,成功插入3、向数据库中插入相同数据,Django报错,数据被打印且执行三、
连人·2023-12-28 13:47

华为Auth-HTTP服务器任意文件读取漏洞

1.漏洞级别高危2.漏洞搜索fofaserver="HuaweiAuth-HttpServer1.0"3.漏洞复现构造GET/umweb/passwdHTTP/1.1Host:User-Agent:Mozilla
fly夏天·2023-12-28 12:16

MMKV 数据存储(零拷贝技术)

MMKV是基于mmap内存映射的key-value组件,底层序列化/反序列化使用protobuf实现,性能高,稳定性强。从2015年中至今在微信上使用,其性能和稳定性经过了时间的验证。
Mr_Leixiansheng·2023-12-28 12:31

记录一次hw简单的打穿内网

该框架于2016年爆粗了一个著名的漏洞——shiro-550,即RememberMe反序列化漏洞,该漏洞凭借其过waf的特性从19年开始逐渐升温,成为了去年的最为流行的漏洞。
五行缺你94·2023-12-28 10:25

【RedisUtils工具类专题】Jackson2JsonRedisSerializer和GenericFastJsonRedisSerializer的对比分析

RedisSerializer介绍二、Jackson2JsonRedisSerializer的特点1.将RedisSerializer改为Jackson2JsonRedisSerializer2.序列化和反序列化
时间?空间?·2023-12-28 08:46

@NotBlank注解不生效解决方法

但是在实体类属性A中加上注解后,Controller层的外部调用实体类,前端传参时,不传属性A,仍然可以反序列化成功,@NotBlank无效。
小老犇·2023-12-28 07:52
上一页 19 20 21 22 23 24 25 26 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他