java的安全问题首屈一指的就是反序列化漏洞,可以执行命令啊,甚至直接getshell,所以趁着这个假期好好研究一下java的反序列化漏洞。另外呢,组里多位大佬对反序列化漏洞都有颇深的研究,借此机会,努力学习,作为狼群中的哈士奇希望成功的继续伪装下去,不被识破,哈哈哈哈!!! 参考文档:感谢所有参考 ...
分类:
编程语言 时间:
2021-07-19 16:56:13
阅读次数:
0
0x01: 一、什么是序列化与反序列化? Java序列化是指把 Java 对象转换为字节序列的过程; Java反序列化是指把字节序列恢复为 Java 对象的过程; 漏洞挖掘位置:白盒(以实际情况做参考) 0x02: 一个类的对象要想序列化成功,必须满足两个条件: 1:该类必须实现 java.io.S ...
分类:
其他好文 时间:
2021-06-02 18:43:15
阅读次数:
0
2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事实上, ...
分类:
编程语言 时间:
2020-11-13 12:51:08
阅读次数:
13
端口扫描 174.140端口扫描结果: 174.141端口扫描结果: Weblogic漏洞扫描 174.140的7001端口是Weblogic的端口,用Weblogic漏洞扫描工具进行扫描: 找到了管理后台,尝试了简单的口令爆破,木有成功,另外还发现了SSRF漏洞和Java反序列化漏洞,SSRF漏洞 ...
分类:
Web程序 时间:
2020-11-07 16:30:13
阅读次数:
36
Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。 ...
分类:
编程语言 时间:
2020-09-04 17:12:19
阅读次数:
43
0x01简介这个漏洞属于java反序列化漏洞的一种,shiro是java的一个开发框架执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。官网漏洞说明:https://issues.apache.org/jira/browse/SHIRO-550ApacheShiro框架提供了记住我(Rememb
分类:
Web程序 时间:
2020-08-03 23:29:07
阅读次数:
115
0x01简介这个漏洞属于java反序列化漏洞的一种,shiro是java的一个开发框架执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。官网漏洞说明:https://issues.apache.org/jira/browse/SHIRO-550ApacheShiro框架提供了记住我(Rememb
分类:
Web程序 时间:
2020-08-03 23:28:35
阅读次数:
188
//希望自己能持续的坚持学java 因为看书学java有点枯燥,虽然我没搞清楚状况,但是还是希望做个实验。以下是实验记录。 前提条件 准备一个 漏洞环境,比如vulhub里的fastjson 看精彩的文章比如fnmsd大佬的,看完虽然我没看懂但是我明白了大佬写了个可以回显的poc). 基于请求/响应 ...
分类:
编程语言 时间:
2020-07-10 13:38:53
阅读次数:
108
1 Java序列化和反序列化简介 Java序列化是指把对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为java对象的过程。 我们把对象序列化成有序字节流,保存到本地磁盘或者Redis等媒介中,或者直接通过网络传输进行远程方法调用(RMI)来使用,在使用的时候再进行反序列化来得到该对象 ...
分类:
其他好文 时间:
2020-05-26 12:31:52
阅读次数:
51
题目复现链接: "https://buuoj.cn/challenges" 参考链接: "2020 年 V&N 内部考核赛 WriteUp" "从一道题入门JAVA反序列化漏洞" "V&N公开赛2020 writeup" Java反序列化 "深入了解序列化writeObject、readObject ...
分类:
编程语言 时间:
2020-03-05 22:18:22
阅读次数:
155
