URLDNS

ctfshow刷题(Java反序列化)

CTFshowJava反序列化web846urldns链importjava.io.ByteArrayOutputStream;importjava.io.IOException;importjava.io.ObjectOutput
V3g3t4ble·2024-02-20 14:49

Java安全 URLDNS链分析

Java安全URLDNS链分析什么是URLDNSURLDNS链分析调用链路HashMap类分析URL类分析exp编写思路整理初步expexp改进最终exp什么是URLDNSURLDNS链是Java安全中比较简单的一条利用链
Elitewa·2024-02-13 05:55

【Java安全】ysoserial-URLDNS链分析

其中最经典的反序列化漏洞利用工具——ysoserial,下面就分析学习一下ysoserial中的URLDNS链,以便更好地理解反序列化漏洞。ysoserial简单分析下载yso
Hello_Brian·2024-02-07 19:33

【Java反序列化】Shiro-550漏洞分析笔记

目录前言一、漏洞原理二、Shiro环境搭建三、Shiro-550漏洞分析解密分析加密分析四、URLDNS链前言shiro-550反序列化漏洞大约在2016年就被披露了,在上学时期也分析过,最近在学CC链时有用到这个漏洞
Hello_Brian·2024-02-01 14:05

地址栏输入URL 发送了什么

之后发生了什么合成URL用户输入URL浏览器会根据用户输入的内容判断是搜索还是网址如果是搜索就将搜索内容+默认搜索引擎合成新的URL如果用户输入的内容符合URL规则,浏览器就会根据URL协议,形成新的合法的URLDNS
lessonSam·2024-01-30 23:49

JF2—CommonsCollections之CC6

URLDNS的污点选取的是DNS查询功能,无法执行命令,只能用于漏洞探测。
AxisX·2024-01-24 20:59

Java反序列化漏洞-CC6利用链分析

CC链之最好用的利用链CC6分析经过之前对CC1链和URLDNS链的分析,现在已经对反序列化利用链有了初步的认识,这次来分析一个最好用的CC利用链——CC6。
CVE-Lemon_i·2024-01-14 04:32

JAVA反序列化之URLDNS链分析

简单介绍下urldns链在此之前最好有如下知识,请自行bingorgoogle学习。什么是序列化反序列化?特点!java对象反射调用?hashmap在java中是一种怎样的数据类型?
昵称还在想呢·2024-01-02 22:52

java反序列化---URLDNS

目录一、前言二、原理分析三、代码实现一、前言URLDNS链相较于其他java反序列化链是比较简单的,只需要几步调用就能触发所以学习java反序列化,最好从URLDNS链出发,初步了解如何跟进,以及反射获取类
Catherines7·2023-10-13 23:25

页面加载过程(url->页面)

具体如下:在浏览器地址栏输入URLDNS域名解析发送HTTP请求服务器接收请求做出响应浏览器解析渲染页面1.浏览器接受URL开启网络请求线程(涉及到:浏览器机制,线程与进程等)2.开启网络线程到发出一个完整的
ylxblog·2023-10-04 20:17

nepctf2023 部分web复现

Venom代理&ping%0a绕过rce&c文件描述符未关闭连接父进程修改文件权限)独步天下-破除试炼_加冕成王(tp6rce+udf提权)EZJAVA_CHECKIN(shiro550)shiro打URLDNS
葫芦娃42·2023-09-05 00:12

Java反序列化笔记

可能的形式满足条件简单链分析(URLDNS)动态代理动态代理简单例子:类加载机制类加载与反序列化JNDIRMIRMI远程服务创建流程JNDIRMI注入JNDILDAP注入JNDI注入高版本绕过FastJson
Aiwin-Hacker·2023-09-03 17:08

Java代码审计13之URLDNS

文章目录1、简介urldns链2、hashmap与url类的分析2.1、Hashmap类readObject方法的跟进2.2、URL类hashcode方法的跟进2.3、InetAddress类的getByName
划水的小白白·2023-09-03 11:39

【学习笔记】Java安全之反序列化

文章目录反序列化方法的对比PHP的反序列化Java的反序列化Python反序列化URLDNS链利用链分析触发DNS请求CommonCollections1利用链利用TransformedMap构造POC
末 初·2023-08-07 00:20

Java反序列化(0):URLDNS的反序列化调试分析

URLDNS链子是Java反序列化分析的第0课,网上也有很多优质的分析文章。笔者作为Java安全初学者,也从0到1调试了一遍,现在给出调试笔记。
蚁景网络安全·2023-07-27 21:58

【JAVA反序列化】序列化与反序列化&Java反射&URLDNS

文章目录原生序列化与反序列化概述为什么需要序列化和反序列化?应用场景(涉及到将对象转换成二进制,序列化保证了能够成功读取到保存的对象)涉及的协议好处为什么会产生反序列化漏洞?可能反序列化的形式?代码演示Java反射基础补充获取Class类对象的三种方式Class类获取构造方法对象的方法Constructor类用于创建对象的方法Class类获取成员变量对象的方法Field类用于给成员变量赋值的方法C
今天是 几 号·2023-07-17 07:45

[java安全]URLDNS

文章目录[java安全]URLDNS前言HashMapURLURLStreamHandler调用过程调用链流程图POC[java安全]URLDNS前言URLDNS利用链是一条很简单的链子,可以用来查看java
Leekos·2023-07-16 08:56

ysoserial反序列化gadget原理-part1:URLDNS/CommonsCollections1

文章目录前言URLDNS依赖payload构造gadgetchain原理简述问题1问题2CommonsCollections1依赖Payload-TransformedMap简化版1、Transformer2
n0body-mole·2023-06-07 18:43

记一次反序列化漏洞的利用之路

CodeQlpy项目地址:https://github.com/webraybtl/CodeQLpy图1.1目标源码中存在的反序列化漏洞0x02探索1)确认反序列化漏洞存在一般来说确认反序列化漏洞都可以使用URLDNS
盛邦安全·2023-04-14 05:49

反序列化之URLDNS

序列化的流程代码实现什么是URLDNS?利用链分析代码验证什么是序列化?
白色的蝎子·2023-04-01 12:29

什么是反序列化?反序列化的过程,原理

介绍本篇主要分析java序列化、反序列化的过程,原理,并且通过简化版URLDNS做案例分析利用链原理。本篇很重要,打好基础是关键。什么是序列化我的理解很简单,就是将对象转化为可以传输、储存的数据。
kali_Ma·2022-12-09 07:08

[JAVA反序列化] URLDNS

0x01URLDNS链子不能够RCE但是通常作为验证是否存在反序列化漏洞的一种方式,学习反序列化先从URLDNS开始,因为他短。
snowlyzz·2022-11-27 16:25

java 安全ysoserial URLDNS利用链分析

目录JAVA序列化和反序列化的基本概念序列化和反序列化的类简单测试重写的readobject方法分析URLDNS的利用链方法中遍历key值执行putVal方法触发:URL类中的hashCode方法触发DNS
·2022-10-31 02:31

从输入url到页面加载完成发生了什么?梳理

1.解析URL,查找当前URLDNS缓存记录,并比较缓存是否过期。首
前端同学·2022-08-15 00:27

URLDNS反序列化链学习

URLDNSURLDNS跟CommonsCollections比起来真是眉清目秀,该链主要用于验证漏洞,并不能执行命令,优点就是不依赖任何包。1、利用链*GadgetChain:*HashMap.readObject()*HashMap.putVal()*HashMap.hash()*URL.hashCode()URLStreamHandler.hashCode()URLStreamHandler
akka1·2022-04-05 14:00

书生浏览器不能打开这个文件或者url_彻底揭开“从URL到页面展现发生了什么”的秘密...

知识点列表:URLDNS解析、IP地址浏览器缓存TCP建立连接服务器处理、HTTP请求(HTTP缓存,产生HTTP报文,请求报文、响应报文)状态码网站处理、MVC后台、数据库请求浏览器渲染(浏览器渲染引起的问题
weixin_39779739·2022-02-04 17:38

URLDNS分析

学习了很久的Java基础,也看了很多的Java反序列化分析,现在也来分析学习哈最基础的URLDNS反序列化吧。Java反序列化基础为了方便数据的存储,于是乎有了现在的Java序列化于反序列化。
Pan3a·2021-12-05 18:00

【浏览器】在浏览器输入URL回车之后发生了什么?

输入URLDNS解析TCP三次握手发送HTTP请求响应HTTP请求页面渲染输入URL把已知的网址输入到浏览器的搜索栏里我是一款浏览器,我今天起床后感觉身体不舒服,所以我想要去看病,那么我就在浏览器的搜索栏上输入地址
01xm·2021-11-21 17:51

页面渲染

浏览器打开页面的过程解析URLDNS解析浏定览器并不保证一会去解析域名,可能会根据当前的网络、负载等状况做决定建立TCP/IP链接或跨域HTTP请求和响应缓存:serviceworker缓存强缓存/协商缓存
wfield·2021-04-25 17:43

Java安全之Commons Collections1分析(三)

Java安全之URLDNS链Java安全之CommonsCollections1分析前置知识Java安全之Comm
nice_0e3·2020-10-11 17:00

深入浅出谈Java安全之URLDNS

在学习Java的反序列化漏洞的时候,就不得不学习他的一个利用链。很多刚刚入门的对于利用链这个词可能比较陌生。那么这里先来了解一下Java反序列化和反序列化漏洞的一个产生。1|20x01Java反序列化Java提供了一种对象序列化的机制,用一个字节序列表示一个对象,该字节包含对象的数据、对象的类型、对象的存储属性。字节序列写出到文件后,相当于可以持久报错了一个对象信息,这过程叫做序列化。序列化对象会
Java正道的光·2020-10-08 16:09

Java安全之URLDNS

Java安全之URLDNS链0x00前言在学习Java的反序列化漏洞的时候,就不得不学习他的一个利用链。很多刚刚入门的对于利用链这个词可能比较陌生。
·2020-10-06 00:00

逆向学习fastjson反序列化始

初窥Payload  下面是一段最简单Fastjson的版本号反序列化--URLDNS代码,观察发现可以提出一个问题
明月清水·2020-08-24 18:24

解析URL得到IP地址

浏览器判断是URL还是搜索关键字解析URLDNS解析获得IP地址多IP域名DNS查询解决方案什么是域名(补充内容)1.浏览器判断是URL还是搜索关键字上一篇说到过浏览器有联想查询服务并且会根据输入内容选择搜索的方式
电龙·2020-08-20 21:23

解析URL得到IP地址

浏览器判断是URL还是搜索关键字解析URLDNS解析获得IP地址多IP域名DNS查询解决方案什么是域名(补充内容)1.浏览器判断是URL还是搜索关键字上一篇说到过浏览器有联想查询服务并且会根据输入内容选择搜索的方式
电龙·2020-08-20 21:23

Java代码审计:Java反序列化入门之URLDNS

0x00前言自学Java代码审计,主要自己一个人学习,有点闭门造车,搜索引擎学习法,但是还是记录一下,也分享一下,也便于将来的总结和反思,如果我能终能学到什么,我也会重新梳理思路,为那些自学者提供一个好的思路,所以有了下面的系列文章java代码审计自学篇。之前研究了,但是没有整理好,因为有hvv任务,所以推迟了一些,现在赶紧整理发出来。0x01Java反序列化介绍Java反序列化漏洞的产生原因:简
god_zZz·2020-08-20 00:15

JavaScript 简记2

1、从输入URL到渲染出整个页面的过程(1)DNS解析URLDNS解析的过程就是寻找哪个服务器上有请求的资源因为IP地址不容易记忆一般会使用URL域名作为网址DNS解析就是把域名翻译成IP地址的过程①先在本地
ISOLATE_E·2020-08-02 15:39

Shiro 回显利用工具下载

再次感谢雷石安全实验室,雷石安全实验室牛逼plus欢迎转发支持,下载链接请关注公众号,后台回复shiro即可得到下载链接源码地址https://github.com/potats0/shiroPocshiro-urldns
宽字节安全·2020-07-26 17:00

解析URL得到IP地址

浏览器判断是URL还是搜索关键字解析URLDNS解析获得IP地址多IP域名DNS查询解决方案什么是域名(补充内容)1.浏览器判断是URL还是搜索关键字上一篇说到过浏览器有联想查询服务并且会根据输入内容选择搜索的方式
weixin_34087503·2020-07-14 03:03

从输入一个URL到页面渲染的流程简介

从输入URL到页面加载,简单来说分为以下几个过程:输入URLDNS解析TCP连接发送HTTP请求服务器处理请求并返回HTTP报文解析渲染页面连接结束具体过程如下:首先,在浏览器地址栏中输入URL。
pambassador·2020-07-11 14:30

URLDNS的gadget

调用过程:java\util\HashMap#readObject(java.io.ObjectInputStreams)java\util\HashMap#hash(Objectkey)获取key(这里是URL)的hashCodejava\net\URL#hashCodejava\net\URLStreamHandler#hashCode(URLu)调用栈::102,Inet4Address(j
caiqiiqi·2020-07-07 04:03

2019 面试准备 - JS 防抖与节流

GitHub地址本文涉及知识点:防抖与节流重绘与回流浏览器解析URLDNS域名解析TCP三次握手与四次挥手浏览器渲染页面在本文中,jsliang会讲解通过自我探索后关于上述知识
weixin_33989780·2020-07-01 05:25

漫谈Commons-Collections反序列化

如果你没有学习分析过ysoserial--Gadget--URLDNS,建议你看笔者之前发过的文章学习一下。如果你是大佬,前面当笔者没说。  
明月清水·2020-06-26 15:37

【鸡肋】URLDNS2的反序列化发现

今天在公司分析cve-2020-2551漏洞的时候,发现了一个新的类,叫hashtable。看了下,实现了Serializable的接口,说明这个类是可以序列化的。符合pop链的条件之一。接下来看下hashtable的readobject方法:1privatevoidreadObject(java.io.ObjectInputStreams)2throwsIOException,ClassNotF
ph4nt0mer·2020-04-21 22:00

从url输入到页面加载完成发生了什么?

大致的说,可分为如下几个步骤:解析URLDNS(DomainNamsSystem,域名解析服务器)查询,把域名转换成为网络可以识别的IP地址ARP(AddressResolutionProtocol,地址解析协议
_空空·2020-04-05 20:25

从URL的输入到页面展现

总体来说分为以下几个流程:在浏览器输入URLDNS解析服务器处理网站处理流程浏览器处理绘制网页在浏览器输入URLURL是什么?
饥人谷_NewClass·2020-03-08 10:22

java反序列化-ysoserial-调试分析总结篇(1)

语言的一些特性很有帮助,也方便打好学习java安全的基础,刚学反序列化时就分析过commoncollections,但是是跟着网上教程,自己理解也不够充分,现在重新根据自己的调试进行理解,这篇文章先分析URLDNS
tr1ple·2020-02-28 21:00

Apache Shiro 反序列化漏洞利用工具使用

工具下载地址:Shiro_Exploit该脚本通过网络收集到的22个key,利用ysoserial工具中的URLDNS这个Gadget,并结合dnslog平台实现漏洞检测。
「已注销」·2020-02-15 20:32

yso中URLDNS的pop链分析(重新分析整理)

#发现之前对这个链关注的点有点问题,重新分析了一下由于最近面试的过程中被问到了yso中URLDNS这个pop链的工作原理,当时面试因为是谈到shiro的怎么检测和怎么攻击时谈到了这个。
ph4nt0mer·2019-12-06 11:00

从URL输入到页面展现发生了什么?

从URL的输入到页面的展现,大概会经过以下几个过程:在浏览器中输入urlDNS域名解析服务器处理请求网站处理流程浏览器显示页面信息一、在浏览器输入URL首先,我们来了解下URL的一
小懒喵_·2019-12-02 11:44
上一页 1 2 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他