序列化共26篇
排序
Thinkphp 5.2.*-dev 反序列化漏洞
环境搭建 # 装置 composer create-project topthink/think=5.2.x-dev v5.2 # 开启 cd /v5.2 php think run /app/controller/index.php <?php namespace appcontroller; class Index { ...
2年前
XStream 反序列化漏洞复现CVE-2020-26258/26259
简介 XStream基于Java库,是一种OXMapping 技术,用来处置XML文件序列化的框架,在将JavaBean序列化,或将XML文件反序列化的时分,不需求其它辅助类和映射文件,使得XML序列化不再繁琐。XStream...
2年前
Weblogic IIOP反序列化漏洞复现CVE-2020-2551
CVE-2020-2551远程代码执行破绽是Oracle官方2020年1月关键补丁更新的重要破绽。该破绽能够绕过Oracle官方在2019年10月份发布的平安补丁,攻击者能够经过IIOP协议远程访问Weblogic Server效劳器...
2年前
Thinkphp 5.0.24 反序列化(任意文件写入)漏洞
破绽描绘 ThinkPHP是由上海顶想公司开发维护的MVC构造的开源PHP框架。 ThinkPHP存在反序列化破绽,攻击者可应用该破绽获取效劳器控制权限。 影响版本 Thinkphp 5.0.24 &nb...
2年前
Python反序列化漏洞分析
简介 Python的序列化和反序列化是将一个类对象向字节流转化从而停止存储和传输, 然后运用的时分再将字节流转化回原始的对象的一个过程, 这个和其他言语的序列化与反序列化其实都差不多. Python...
2年前终极Java反序列化Payload缩小技术
介绍 实战中由于各种情况,可能会对反序列化Payload的长度有所限制,因此研究反序列化Payload缩小技术是有意义且必要的 本文以CommonsBeanutils1链为示例,重点在于三部分: 序列化数据本身的缩...
2年前FastJson多版本反序列化远程命令执行漏洞(fastjson的漏洞)
破绽描绘 FastJson是阿里巴巴的开源JSON解析库,它能够解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也能够从JSON字符串反序列化到JavaBean。 破绽版本 fastjson-1...
2年前
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
破绽简介 fastjson在解析json的过程中,支持运用autoType来实例化某一个详细的类,并调用该类的set/get办法来访问属性。经过查找代码中相关的办法,即可结构出一些歹意应用链。 浅显了解就是:...
2年前
Thinkphp 6.0.*-dev 反序列化漏洞
环境搭建 # 装置 composer create-project topthink/think=6.0.x-dev v6.0 # 开启 cd /v6.0 php think run /app/controller/index.php <?php namespace appcontroller; class Index { ...
2年前
Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)
简介 Dubbo是阿里巴巴公司开源的一个高性能优秀的效劳框架,使得应用可经过高性能的RPC完成效劳的输出和输入功用,能够和Spring框架无缝集成。 破绽概述 Apache Dubbo披露了Provi...
2年前
