安全客 - 安全资讯平台

反序列化

初识Java反序列化

反序列化

Java

研究某产品反序列化EXP时，搜集到的POC只有一段16进制字节序列难以利用，遂有下文对Java序列化和反序列化的学习。

Tide安全团队
2022-06-08 10:30:20

208425次阅读

Web安全

ThinkPHP5.0.24 反序列化浅析

Web安全

反序列化

ThinkPHP

对于这个漏洞的学习，有几个大体的思路，一是向大佬学习；二是找到可以利用的点，再不断构造合理的对象向这个点靠近；三是把几个子链分别构造好再连起来。

northind
2022-01-19 15:30:32

298648次阅读

反序列化

一次Thinkphp 5.0.X 反序列化的坎坷

反序列化

ThinkPHP

并非专业选手、本文如有出错的地方，还请师傅们帮忙斧正，也是记录一下在项目中遇到thinkphp windows 环境下 RCE的踩坑。

0xdd
2022-01-18 15:30:13

193153次阅读

浅析PHP原生类

从2021年开始参加CTF比赛开始，就有几次遇到PHP原生类函数，自己也从来系统学习过这些类是如何使用的，但是该考点很常见，所以就来系统的学习一下。

ki10、Mac
2022-01-17 15:30:27

414033次阅读 1

一文回顾攻击Java RMI方式

RMI存在着三个主体，RMI Registry，RMI Client，RMI Server，而对于这三个主体其实都可以攻击，当然了需要根据jdk版本以及环境寻找对应的利用方式。

HhhM
2022-01-04 15:30:26

592810次阅读

反序列化

.NET序列化学习之XmlSerializer

反序列化

.net反序列化

结构化XML数据映射为.NET对象，XmlSerializer 类的程序中通过单个API 调用来执行XML文档和对象之间的转换，转换后会在.NET类中元数据属性来表示，当Web程序，用户可控Type类的静态方法获取数据,并调用Deserialize反序列化xml数据就会触发反序列化漏洞攻击。

0xdd
2021-12-23 15:31:00

311020次阅读

反序列化

java反序列化之Commons Collections分析（一）

反序列化

Java

在学习java反序列化的过程中，Commons Collections几乎是反序列化学习中无法绕过的一关。也是各大ctf和awd的常见考点。

雷石安全实验室
2021-11-11 12:00:08

414646次阅读

Laravel反序列化漏洞学习及再挖掘

做 web 类题目的时候发现 ctfshow 平台中 web 入门题目中有关于PHP 框架漏洞的题目，尝试自己挖掘链子，进一步学习在框架类中反序列化的链子挖掘方式。

H3rmesk1t
2021-11-08 14:30:39

503736次阅读 1

反序列化

非攻——non RCE 题目分析

反序列化

jdbc

最近在恶补反序列化的知识点，mysql jdbc反序列化漏洞也是一个比较经典的漏洞。学习的过程中正好发现AntCTFxD^3CTF有道赛题把这个知识点出成了题目，为了了解该jdbc漏洞的利用场景，周末把环境和docker容器搭起来进行漏洞复现。

D4ck
2021-11-02 14:30:17

252832次阅读

反序列化

从Java反序列化漏洞题看CodeQL数据流

反序列化

Java

CodeQL

本次实验项目源码来源之前我写的Shiro-CTF的源码https://github.com/SummerSec/JavaLearnVulnerability/tree/master/shiro/shiro-ctf ，项目需要database文件上传到GitHub项目 learning-codeql上。

SummerSec
2021-10-29 10:30:47

338992次阅读