Typecho反序列化漏洞复现

【vulhub系列】CVE-2021-41277 Metabase 信息泄露漏洞复现

文章目录漏洞信息fofa语法环境搭建POC漏洞复现总结漏洞信息Metabase是美国Metabase公司的一个开源数据分析平台。
一只学网安的小白。·2023-12-03 14:13

torch模型保存

序列化到文件,从文件反序列化回来的对象,要么是Python自定义的对象,要么是本文件中已经定义的类。
wenjurongyu·2023-12-03 13:17

漏洞复现--安恒明御安全网关 aaa_local_web_preview 任意文件上传

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责一:漏洞描述安恒明御安全网关是一个网络安全产品,由安恒信息技术股份有限公司开发和提供。它是一个综合性的安全管理平台,
芝士土包鼠·2023-12-03 13:23

FH Admin Shiro反序列化漏洞复现

0x02漏洞概述FHAdminCMS存在shiro反序列化漏洞,该漏洞源于软件存在硬编码的shiro-key,攻击者可利用该key生成恶意的序列化数据,在服务器上执行任意代码,执行系统命令、或打入内存马等
OidBoy_G·2023-12-03 13:13

Zkteco百傲瑞达安防管理系统平台 Shiro反序列化漏洞复现

视频联动、系统设置等模块,门禁配合通道管理设备可实现对出入口进行控制,可以深度应用于政府、企业、监狱、学校、智慧社区等多个安防需求领域0x02漏洞概述Zkteco百傲瑞达安防管理系统平台存在shiro反序列化漏洞
OidBoy_G·2023-12-03 13:13

锐捷RG-UAC应用网关 前台RCE漏洞复现

0x03复现环境FOFA:app="Ruijie-RG-UAC"0x04漏洞复现PoCGET/view/systemConfig/management/nmc_sync.php?c
OidBoy_G·2023-12-03 13:11

【1day】致远 A8+ OA wpsAssistServlet任意文件读取漏洞学习

目录一、漏洞描述二、影响版本三、资产测绘四、漏洞复现
xiaochuhe.·2023-12-03 10:44

反序列化漏洞详解(一)

面向对象二、类2.1类的定义2.2类的修饰符介绍三、序列化3.1序列化的作用3.2序列化之后的表达方式/格式①简单序列化②数组序列化③对象序列化④私有修饰符序列化⑤保护修饰符序列化⑥成员属性调用对象序列化四、反序列化
网安小t·2023-12-03 08:36

反序列化漏洞(二)

目录pop链前置知识,魔术方法触发规则pop构造链解释(开始烧脑了)字符串逃逸基础字符减少字符串逃逸基础字符增加实例获取flag字符串增多逃逸字符串减少逃逸延续反序列化漏洞(一)的内容pop链前置知识,
网安小t·2023-12-03 08:03

锐捷EWEB网管系统 RCE漏洞复现

0x01产品简介锐捷网管系统是由北京锐捷数据时代科技有限公司开发的新一代基于云的网络管理软件,以“数据时代创新网管与信息安全”为口号,定位于终端安全、IT运营及企业服务化管理统一解决方案。0x02漏洞概述Ruijie-EWEB网管系统flwo.control.php中的type参数存在命令执行漏洞,攻击者可利用该漏洞执行任意命令,写入后门,获取服务器权限,进而控制整个web服务器。0x03复现环境
OidBoy_G·2023-12-03 08:32

fastjson反序列化formate时间等特殊格式处理,@JSONField的name属性首字母为大转JSON后变小写处理

背景今天在实际编码过程中碰到一个问题,需要将实体格式化转为JSON,然后再将JSON反序列化为数据库对象存储到数据库中。
Code_yi·2023-12-03 06:19

Rpc和http的区别

一个完整的RPC框架主要有三部分组成:通信框架、通信协议、序列化和反序列化格式。RPC与HTTP
此花本应与她·2023-12-03 06:28

C# Bin、XML、Json的序列化和反序列化

1)序列化前的准备声明类:[Serializable]publicclassBandItem{//JsonIgnore:当不想把某字段值序列化到Json时使用//[JsonIgnore]publicstringName{get;set;}publicstringMusicStyle{get;set;}publicstringMasterpiece{get;set;}publicBandItem(s
CRongQ·2023-12-03 05:06

CVE-2020-11651(SaltStack认证绕过)漏洞复现

简介SaltStack是使用Python开发的一个服务器基础架构集中化管理平台,底层采用动态的连接总线,使其可以用于编配,远程执行,配置管理等等。Salt非常容易设置和维护,而不用考虑项目的大小。从数量可观的本地网络系统,到跨数据中心的互联网部署,Salt设计为在任意数量的server下都可工作。Salt的拓扑使用简单的server/client模式,需求的功能内建在一组daemon中。salt在
Cheng-Ling·2023-12-03 03:52

【Go】protobuf介绍及安装

目录一、Protobuf介绍1.Protobuf用来做什么2.Protobuf的序列化与反序列化3.Protobuf的优点和缺点4.RPC介绍文档规范消息编码传输协议传输性能传输形式浏览器的支持度消息的可读性和安全性代码的编写
NettyBoy·2023-12-03 02:45

【Go】EasyJson使用

EasyJson是Go语言中对象序列化与反序列化的工具,类似Java中的fastjson和Jackson,能快速对对象进行序列化和反序列化,本次介绍一下使用方法。
NettyBoy·2023-12-03 02:42

RMI反序列化漏洞分析

1、RMI是什么RMI(RemoteMethodInvocatio),是一种跨JVM实现方法调用的技术。一般由三个部分组成Client(客户端)Registry取得服务端注册的服务,然后调用远程方法//ConnecttoRMIRegistry:localhost:1099Registryregistry=LocateRegistry.getRegistry("localhost",1099);//
LittleT1gger·2023-12-03 01:38

中国蚁剑AntSword反制 RCE漏洞复现 windows环境上反弹shell 吊打攻击你的黑客

中国蚁剑(AntSword)是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。WebShellWebShell可以理解为网页中的木马程序,通过植入到你的web站点,在web页面上的操作,控制你的计算机操作系统,文件,权限,任意命令执行。常见的WebShell分为大马、小马、一句话木马、内存马等。下面为一句话木马的代码展示:#一句话木马中国蚁剑(An
4ustn1ne·2023-12-03 00:02

中间件安全:JBoss 反序列化命令执行漏洞.(CVE-2017-7504)

中间件安全:JBoss反序列化命令执行漏洞.
半个西瓜.·2023-12-02 22:44

捷诚管理信息系统CWSFinanceCommon.asmx SQL注入漏洞复现 [附POC]

文章目录捷诚管理信息系统CWSFinanceCommon.asmxSQL注入漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3
gaynell·2023-12-02 19:26

科荣 AIO 管理系统文件读取漏洞复现 [附POC]

文章目录科荣AIO管理系统文件读取漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现科荣AIO管理系统文件读取漏洞复现
gaynell·2023-12-02 19:56

金蝶Apusic应用服务器deployApp接口任意文件上传漏洞复现 [附POC]

文章目录金蝶Apusic应用服务器deployApp接口任意文件上传漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现
gaynell·2023-12-02 19:56

DPtech SSL VPN Service任意文件读取漏洞复现 [附POC]

文章目录DPtechSSLVPNService任意文件读取漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现DPtechSSLVPNService
gaynell·2023-12-02 19:24

hadoop rpc基础

同其他RPC框架一样,Hadoop分为四个部分:序列化层:支持多种框架实现序列化与反序列化函数调用层:利用java反射与动态代理实现网络传输层:基于TCP/IP的Socket机制服务的处理框架:基于Reactor
安静平和·2023-12-02 17:09

【1day】复现I Doc View后台弱口令漏洞

目录一、漏洞描述二、影响版本三、资产测绘四、漏洞复现
xiaochuhe.·2023-12-02 16:42

GNU Radio教程 7.多态类型PMT

多态类型(PMT)内容:1介绍1.1更复杂的类型2PMT数据类型3插入和提取数据4字符串5测试和比较6字典7矢量图7.1斑点8对9PDU10序列化和反序列化11印刷11.1集合符号12Python对象和
一路向北@zss·2023-12-02 12:33

命令执行(RCE)与反序列化

命令执行(RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。):分类:远程系统命令执行exec()、system()、assert():设计者在编写代码时没有做严格的安全控制,导致攻击者通过接口或相关参数提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器。涉及系统命令:assert,system,passthru,exec,pcntl_exec
赤赤三·2023-12-02 09:25

JBoss漏洞总结复现

目录简介JBoss发序列化漏洞(CVE-2017-12149)漏洞描述漏洞原理影响范围漏洞复现修复建议JBossMQJMS反序列化漏洞(CVE-2017-7504)漏洞描述漏洞原理影响范围复现过程修复建议
1ance.·2023-12-02 09:25

【CVE-2017-3241】Java RMI远程反序列化代码执行

对于JavaRMI,只要是以对象为参数的接口,都可以在客户端构建一个对象,强迫服务端对这个存在于ClassPath下可序列化类进行反序列化,从而执行一个不在计划内的方法。一、了解什么是JavaRMI?
后排人·2023-12-02 09:51

中间件安全:JBoss 反序列化命令执行漏洞.(CVE-2017-12149)

中间件安全:JBoss反序列化命令执行漏洞.
半个西瓜.·2023-12-02 09:49

C语言实现Json与结构体相互转换——cson

://github.com/sunchb/cson.git目录前言示例实现1.实现“反射”1.1.描述结构体属性1.2.访问结构体属性1.3.结构体属性赋值1.3.数组和结构体类型的描述2.序列化3.反序列化代码及
看我大华夏·2023-12-02 09:16

WEB渗透—反序列化(十)

Web渗透—反序列化课程学习分享(课程非本人制作,仅提供学习分享)靶场下载地址:GitHub-mcc0624/php_ser_Class:php反序列化靶场课程,基于课程制作的靶场课程地址:PHP反序列化漏洞学习
haosha。·2023-12-02 08:28

18 Golang结构体详解(四)

结构体和Json相互转换当Golang要为App或者小程序提供Api接口数据时,涉及到结构体和Json之间的相互转换Golang序列化是指把结构体数据转换成Json格式的字符串;GolangJson的反序列化是指把
learninginto·2023-12-02 08:27

Typecho博客搭建教程

更好的阅读体验欢迎访问博客体验Typecho博客框架前言膜拜过许多大佬使用Typecho搭的博客,觉得他们的主题特别好看,特来体验一下。
alsaces·2023-12-02 05:59

易宝OA ExecuteSqlForSingle SQL注入漏洞复现

0x01产品简介易宝OA系统是一种专门为企业和机构的日常办公工作提供服务的综合性软件平台,具有信息管理、流程管理、知识管理(档案和业务管理)、协同办公等多种功能。0x02漏洞概述易宝OAExecuteSqlForSingle、IsPartNumber接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库敏感信息,用户名密码等凭据,进一步利用可获取服务器权限0x03复现环境FOFA:
OidBoy_G·2023-12-02 00:15

Nginx漏洞复现与分析

Nginx如何处理PHP请求Nginx本身不支持直接解析和执行PHP代码,但可以通过与PHP解释器的集成来处理PHP请求。一种常见的方法是使用PHP-FPM(FastCGIProcessManager)作为PHP解释器。原理图:Step1Step2+---------------------++----------------------+|||||客户端应用程序||NginxWeb服务器||||
狗蛋的博客之旅·2023-12-02 00:15

Gson的用法详解

一、简介Gson(又称GoogleGson)是Google公司发布的一个开放源代码的Java库,主要用途为序列化Java对象为JSON字符串,或反序列化JSON字符串成Java对象。
搁浅小泽·2023-12-01 22:42

PHP反序列化字符串逃逸

PHP反序列化字符串逃逸提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录PHP反序列化字符串逃逸前言一、关于反序列化和序列化二、[0ctf2016]unserialize二、prize_p5
M03-Aiwin·2023-12-01 21:33

php反序列化字符逃逸

文章目录php反序列化字符逃逸php反序列化字符逃逸的原理php反序列化字符逃逸分类过滤后字符变多过滤后字符串变少参考文章:php反序列化字符逃逸php反序列化字符逃逸的原理当开发者使用先将对象序列化,
Leekos·2023-12-01 21:00

NSSCTF第14页(2)

[UUCTF2022新生赛]ezpop提示说看看反序列化字符串逃逸PHP反序列化字符串逃逸_php反序列化逃逸-CSDN博客php反序列化字符逃逸_php反序列化逃逸_Leekos的博客-CSDN博客buuctf
呕...·2023-12-01 21:54

Java基础- transient关键字

以下是对transient关键字的详细介绍:1.序列化与反序列化序列化:将对象的状态信息转换为可以存储或传输的形式的过程。反序列化:将已序列化的数据恢复为对象的过程。
青衫客36·2023-12-01 18:17

血的教训---入侵redis并免密登录redis所在服务器漏洞复现

血的教训—入侵redis并免密登录redis所在服务器漏洞复现今天就跟着我一起来入侵redis并免密登录redis所在服务器吧,废话不多说,我们直接开始吧。
刘帅0952·2023-12-01 16:02

通过lua脚本在redis中处理json数据

存储为hash结构在序列化和反序列化的时候稍微麻烦一些,涉及到键值映射关系转换,但是对于字段更新比较方便,通过redis提供的命令就可以完成。而存储为键值对,可以通过相关的
腊笔不小新xingo·2023-12-01 13:20

PHP中原生类SoapClient反序列化的SSRF利用

1.[LCTF2018]bestphp'srevengeindex.phparray(0){}flag.phpsession_start();echo'onlylocalhostcangetflag!';$flag='LCTF{*************************}';if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){$_SESSION['flag'
El.十一·2023-12-01 12:54

Unity优化——脚本优化策略4

目录一、最小化反序列化行为1.1减小序列化对象1.2异步加载序列化对象1.3在内存中保存之前加载过的序列化对象1.4将公共数据移入ScriptableObject二、叠加、异步地加载场景三、创建自定义的
七七喝椰奶·2023-12-01 11:46

Panalog 日志审计系统 前台RCE漏洞复现

0x03复现环境FOFA:app="Panabit-Panalog"0x04漏洞复现PoCPOST/account/sy_query.phpHTTP/1.1Host:your-
OidBoy_G·2023-12-01 11:06

润申信息企业标准化管理系统 SQL注入漏洞复现

0x01产品简介润申信息科技企业标准化管理系统通过给客户提供各种灵活的标准法规信息化管理解决方案,帮助他们实现了高效的标准法规管理,完成个性化标准法规库的信息化建设。0x02漏洞概述润申信息科技企业标准化管理系统CommentStandardHandler.ashx、DefaultHandler.ashx接口处存在SQL注入漏洞。攻击者可利用漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户
OidBoy_G·2023-12-01 11:06

智跃人力资源管理系统 SQL注入漏洞复现

0x01产品简介智跃人力资源管理系统是基于B/S网页端广域网平台,一套考勤系统即可对全国各地多个分公司进行统一管控,成本更低。信息共享更快。跨平台,跨电子设备0x02漏洞概述智跃人力资源管理系统GenerateEntityFromTable.aspx接口处存在SQL注入漏洞,攻击者可通过该漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马
OidBoy_G·2023-12-01 11:06

万户ezOFFICE wpsservlet任意文件上传漏洞复现

0x01产品简介万户OAezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。0x02漏洞概述万户ezOFFICE协同管理平台wpsservlet接口处存在任意文件上传漏洞
OidBoy_G·2023-12-01 11:59

剑指offer 37:序列化二叉树

题目描述:请实现两个函数,分别用来序列化和反序列化二叉树,不对序列化之后的字符串进行约束,但要求能够根据序列化之后的字符串重新构造出一棵与原二叉树相同的树。
姚舜禹_12140·2023-12-01 08:20
上一页 28 29 30 31 32 33 34 35 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他