java反序列化

移动端安卓app渗透测试逆向工具集分享（1）

给大家分享一些我自己收藏的移动端安卓app逆向工具包，下面是目录activty劫持工具adb1.0.32CTF工具合集hackbar2.3.1ImmunityCanvasJava反序列化终极测试工具AndroidKiller_v1.3.1Android

2401_86855609·2024-08-24 20:26

ctfshow刷题(Java反序列化)

CTFshowJava反序列化web846urldns链importjava.io.ByteArrayOutputStream;importjava.io.IOException;importjava.io.ObjectOutput

V3g3t4ble·2024-02-20 14:49

Java反序列化之CC1链分析

目录前言commons-collections（CC）构造利用链第一步InvokerTransformer第二步ChainedTransformer第三步ConstantTransformer第四步服务端生成Runtime实例上Map第五步TransformedMap第六步AnnotationInvocationHandler的readObject复写点第五步Lazymap第六步动态代理总结前言可

安全混子·2024-02-12 09:54

JBOSS漏洞

Java反序列化RCE漏洞CVE-2015-7501漏洞由于JBoss中invoker/JMXInvokerServlet路径对外开放，JBoss的jmx组件支持Java反序列化invoker/JMXInvokerServlet

唐小风7·2024-02-12 00:48

理论 | 教你彻底学会Java序列化和反序列化

Java序列化是指把Java对象转换为字节序列的过程，Java反序列化是指把字节序列恢复为Java对象的过程。反序列化：客户端重文件，或者网络中获取到文件以后，在内存中重构对象。

小小∽·2024-02-05 18:14

序列化与反序列化

一、基本概念1、序列化和反序列化的定义：(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。

m0_73721944·2024-02-03 02:45

【Java反序列化】Shiro-550漏洞分析笔记

目录前言一、漏洞原理二、Shiro环境搭建三、Shiro-550漏洞分析解密分析加密分析四、URLDNS链前言shiro-550反序列化漏洞大约在2016年就被披露了，在上学时期也分析过，最近在学CC链时有用到这个漏洞，重新分析下并做个笔记，也算是温故而知新了。一、漏洞原理ShiroAES加密-->Base64加密的过程，接收后会进行Base64解密-->AES解密-->反序列化进行验证身份信息。

Hello_Brian·2024-02-01 14:05

红日靶场2 ATT&&CK攻击

360免杀其实没有你想象的那么难首先最重要的是你要用免杀脚本对你所生成的木马病毒进行加密然后加密系统的内核，就是上一篇文章所提及的是通过两次加密之后所输出的结果，让360无法感知到，然后先通过java反序列化工具将冰蝎工具的

曼达洛战士·2024-01-31 04:51

Java反序列化json内存溢出_fastjson反序列化使用不当致使内存泄露

分析一个线上内存告警的问题时，发现了形成内存告警的缘由是使用fastjson不当致使的。分析dump发现com.alibaba.fastjson.util.IdentityHashMap$Entry对象比较多。html查找相关文档fastjsonIdentityHashMap内存泄漏排查(这篇文档分析描述的状况与咱们遇到的问题的缘由同样，是使用com.alibaba.fastjson.util.P

李daxin·2024-01-30 09:22

Java反序列化json内存溢出_fastJson与一起堆内存溢出'血案'

FastJson与一起堆内存溢出'血案'现象QA同学反映登录不上服务器排查问题1--日志级别查看log,发现玩家登录的时候抛出了一个java.lang.OutOfMemoryError大概代码是向Redis序列化一个PlayerMirror镜像数据,但是在JSON.toJSONString的时候出现了错误.比较清晰，即序列化的时候expandCapacity,内存不足又看了一下日志，有好几个Out

weixin_39753584·2024-01-30 09:22

Java反序列化json内存溢出_fastJson 与一起堆内存溢出‘血案

现象QA同学反映登录不上服务器排查问题1–日志级别查看log,发现玩家登录的时候抛出了一个java.lang.OutOfMemoryError大概代码是向Redis序列化一个PlayerMirror镜像数据,但是在JSON.toJSONString的时候出现了错误.比较清晰，即序列化的时候expandCapacity,内存不足。又看了一下日志，有好几个OutOfMemoryError,都是类似于用

换个宇宙·2024-01-30 09:51

Java反序列化json内存溢出_fastjson反序列化使用不当导致内存泄露

分析一个线上内存告警的问题时，发现了造成内存告警的原因是使用fastjson不当导致的。分析dump发现com.alibaba.fastjson.util.IdentityHashMap$Entry对象比较多。查找相关文档fastjsonIdentityHashMap内存泄漏排查(这篇文档分析描述的情况与我们遇到的问题的原因一样，是使用com.alibaba.fastjson.util.Param

棒棒李·2024-01-30 09:51

漏洞复现 - Apache Shiro 1.2.4反序列化漏洞（CVE-2016-4437）

Shiro最有名的漏洞就是反序列化漏洞了，加密的用户信息序列化后存储在名为remember-me的Cookie中，攻击者使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令

Sally__Zhang·2024-01-28 13:15

JAVA反序列化漏洞基础

ObjectOutputStreampackagecom.test;publicclassEmployeeimplementsjava.io.Serializable{publicStringname;publicStringaddress;publictransientintage;//transient瞬态修饰成员,不会被序列化publicvoidaddressCheck(){System.o

coleak·2024-01-28 05:06

Java代码审计：反序列化链CommonsCollections1详解

CommonsCollection在java反序列化的源流中已经存在5年今天介绍的CommonsCollections1，反序列化的第一种RCE序列化链CommonsCollections1反序列化漏洞点仍然是

god_Zeo·2024-01-28 05:34

Java序列化

1.定义：Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。

Cucucuu·2024-01-27 01:24

CTF之think_java反序列化完整案例

2020-网鼎杯-朱雀组-Web-think_java详解环境复现CTFHub附件代码审计通过打开附件文件中test类文件发现//发现文件路劲@RequestMapping({"/common/test"})publicclassTest{publicTest(){}@PostMapping({"/sqlDict"})//通过文件命名可以发现是关于sql的文件@Access@ApiOperatio

出顾茅庐·2024-01-24 16:49

38-WEB漏洞-反序列化之PHP&JAVA全解（下）

WEB漏洞-反序列化之PHP&JAVA全解（下）一、Java中API实现二、序列化理解三、案例演示3.1、本地3.2、Java反序列化及命令执行代码测试3.3、WebGoat_Javaweb靶场反序列化测试

月亮今天也很亮·2024-01-24 16:17

Java反序列化

JAVA反序列化运行文件流程：Java是一个跨平台语言：真正的Java语言的后缀就是.Java,其他的后缀也属于Java文件例如：xxx.jar的属于一个压缩包如果使用解压缩解压就会发现里面超多的xxxx.class

爱吃银鱼焖蛋·2024-01-23 17:39

fastjson-BCEL不出网打法原理分析

FastJson反序列化漏洞与原生的Java反序列化的区别在于，FastJson反序列化并未使用readObject方法，而是由FastJson自定一套反序列化的过程。

网安Dokii·2024-01-23 14:09

jackson java反序列化_使用Jackson JSON映射器序列化/反序列化java 8 java.time

寒水微痕·2024-01-18 00:27

PHP反序列化漏洞原理概述-FIRST

反序列化漏洞1.产生背景反序列化漏洞第一次众人皆知在2015年11月6日，最初出现在JAVA语言中，FoxGloveSecurity安全团队的Breenmachine发表了一篇博客，里面详细阐述了利用JAVA

小边同学·2024-01-15 23:56

Java反序列化漏洞-CC6利用链分析

CC链之最好用的利用链CC6分析经过之前对CC1链和URLDNS链的分析，现在已经对反序列化利用链有了初步的认识，这次来分析一个最好用的CC利用链——CC6。为什么CC6是最好用的CC利用链，因为CC6不限制jdk版本，只要commonscollections小于等于3.2.1，都存在这个漏洞。文章目录CC链之最好用的利用链CC6分析前置知识1.回顾CC12.高版本jdk的修改寻找新利用链1.La

CVE-Lemon_i·2024-01-14 04:32

反序列化，反射时，构造函数是否调用。

相反，Java反序列化机制会使用一些特殊的机制将数据转换

sun0322·2024-01-09 06:02

Weblogic安全漫谈(一)

9个月后，@breenmachine对众多知名Java中间件的利用文章[2]使Java反序列化漏洞变得广为人知，Weblogic中首当其冲的就是大家多少都有点耳熟的T3协议反序列化。

杭州默安科技·2024-01-05 07:12

JAVA反序列化之URLDNS链分析

简单介绍下urldns链在此之前最好有如下知识，请自行bingorgoogle学习。什么是序列化反序列化？特点！java对象反射调用？hashmap在java中是一种怎样的数据类型？dns解析记录有那些？思考代码本身设计废话不说，我们直接上代码（代码调用链在下面分析）publicstaticvoidmain(String[]args)throwsException{//Personperson=n

昵称还在想呢·2024-01-02 22:52

廾匸0705·2023-12-30 22:52

Java代码审计系列之 JNDI注入

0x01前言在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRMP这些概念，其中RMI是一个基于序列化的Java远程方法调用机制。

风炫安全·2023-12-30 00:55

java反序列化数据过滤

前言：反序列化漏洞的危害稍微了解一点的都知道，如果能找到前端某处存在反序列化漏洞，那基本上距离拿下服务器仅一步之遥，这个时候我们可以通过继承ObjectInputFilter添加tFilter实现对所有反序列化类的校验，当然这个需要java的高版本才支持jep290，或者我们可以针对需要进行反序列化的接口对将要反序列化的数据进行过滤，这样可以防止如果我们通过全局设置导致项目代码出现未知问题，并且可

GalaxySpaceX·2023-12-26 19:48

深信服安全攻防提前批（感觉凉凉了）

太惨了，作为一名ctfweb选手，笔试卷子上超级多的内网渗透的知识，web基本就问了一个java反序列化。

dgcat·2023-12-25 01:06

《网络安全面试总结》--web白盒漏洞问题

网络安全面试题目Web安全web白盒漏洞问题1.JAVA反序列化了解吗？有没有了解过shrio反序列化？

MaKe教室·2023-12-22 12:23

发送java字节码的数据包

一些Java反序列化漏洞在利用时，要发送Java序列化值（字节码）到服务器。我们在使用一些工具生成字节码后，可以通过python或者burp发送。

st3pby·2023-12-20 06:26

java的序列化和反序列化

java的序列化和反序列化目录java的序列化和反序列化java序列化java反序列化为什么要将java对象序列化序列化作用序列化和反序列化步骤创建一个实现了Serializable接口的对象序列化一个对象反序列化对象

YiHua_yiye·2023-11-30 12:41

java反序列化CC1

packageorg.example;importorg.apache.commons.collections.Transformer;importorg.apache.commons.collections.functors.ChainedTransformer;importorg.apache.commons.collections.functors.ConstantTransformer;i

dumplings。·2023-11-25 09:48

java反序列化漏洞详解

java反序列化漏洞文章目录java反序列化漏洞漏洞原理漏洞评级漏洞危害漏洞验证漏洞防御典型案例漏洞原理由于java开发人员在编写代码时重写了readObject方法，在重写的readObject方法中调用其他函数实现链式调用最终调用到了危险函数

抠脚大汉在网络·2023-11-25 01:01

Java 序列化和反序列化

一、基本概念1、序列化和反序列化的定义：(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。

fastjson_·2023-11-25 01:26

网络安全之渗透测试入门准备

①VMware安装及使用；②Kali安装及使用；③Hetian工具库运行环境安装2.前期信息收集：①子域名信息收集；②IP、端口信息收集；③网站信息收集3.寻找突破入口：①常用工具；②常见历史漏洞集合；③Java

你玩个der·2023-11-23 18:17

基础知识｜反序列化命令执行漏洞

0x02java反序列化把java对象转换为子

灼剑（Tsojan）安全团队·2023-11-23 00:08

Java序列化与反序列化

参考链接：Java序列化与反序列化_Jacks丶的博客-CSDN博客_java反序列化1序列化与反序列化的概念Java序列化是指：将对象转化成一个字节序列(二进制数据)的过程。

罗汉翔·2023-11-22 19:28

命令执行漏洞利用技巧总结

常见的可以执行远程命令的漏洞的有各种JAVA反序列化漏洞、远程代码执行漏洞、远程命令执行漏洞（原生）、表达式执行漏洞、SQL注入漏洞等。远程命令执行类漏洞从漏洞探测到漏洞利用其实都非常讲究技巧。

st3pby·2023-11-22 08:46

Fastjson反序列化漏洞原理分析及复现

Fastjson序列化与反序列化常规反序列化Fastjson序列化与反序列化Fastjson发序列化漏洞原理一次失败的复现Fastjson序列化与反序列化常规反序列化Fastjson的序列化与反序列化与常规的java

Iwanturoot·2023-11-19 04:47

经典的Shiro反序列化漏洞分析

zkzq·2023-11-19 04:45

java序列化漏洞_Java 序列化和反序列化漏洞知多少

Java反序列化漏洞简介便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。

大宝宝和小宝贝·2023-11-11 17:27

Java反序列化高危漏洞重现

Java反序列化漏洞存在着极大危害，今天我来为大家重现一下：1.新建一个Write类，来进行序列化操作，packagecn.serializable;importjava.io.FileOutputStream

qq_45498778·2023-11-11 17:26

java 序列化漏洞怎么解决？

java反序列化是指把细节序列恢复为java对象的过程，ObjectInputStream类的readObject()方法用于反序列化。

半夏_2021·2023-11-11 17:22

【漏洞复现】 Shiro 反序列化漏洞

攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。漏洞原理shiro默认使用

渗透测试老鸟-九青·2023-11-09 00:05

Java反序列化漏洞分析合集-2

文章目录前言SnakeyamlJdbcImpl链子ScriptEngineManager前言之前的文章不让继续写了，开一篇新的继续记录自己的学习。SnakeyamlSnakeYAML是一个Java中的YAML解析器和生成器库。YAML（YAMLAin’tMarkupLanguage）是一种人类可读的数据序列化格式，经常用于配置文件和数据交换，它提供了一组简单易用的API，用于读取和写入YAML格式

Aiwin-Hacker·2023-11-08 04:12

关于Apache Kafka 反序列化漏洞（CVE-2023-25194）

此漏洞允许服务器连接到攻击者的LDAP服务器并反序列化LDAP响应，攻击者可以使用它在Kafka连接服务器上执行java反序列化小工具链。

sandfeng·2023-11-07 21:10

CVE-2016-4437 Shiro反序列化漏洞复现

攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。二、影响版本ApacheS

wavesky111·2023-11-07 10:59

Apache Shiro 1.2.4反序列化漏洞（CVE-2016-4437、Shiro-550）

攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。0x01影响版本Shi

TheK403·2023-11-07 10:57

推荐频道