.NET 介绍一种漏洞挖掘思路,绕过 GZip 实现反序列化
在.NET反序列化漏洞审计与利用过程中,攻击者通过 BinaryFormatter 类型进行 payload 加载与执行。本文将从 GZip 技术基础出发,逐步分析如何结合 Bin...
admin
jdbc反序列化利用武器研究
jdbc反序列化漏洞原理这里就不多介绍了。总之jdbc连接地址可控就能触发反序列化漏洞。实战当中遇到的挺多尤其是fastjson1.2.68以下版本利用。学员问到了jdbc利用刚好...
shiro反序列化漏洞原理分析
前言:本文不包含CB链分析,只是单纯的漏洞序列化和反序列化的超详细分析。漏洞分析:序列化过程:1.调用convertPrincipalsToBytes方法并传递数组类型的实例acc...
.NET 基于 MachineKey 一键维持权限,反序列化工具实现RCE
在红队渗透测试中,获取初始访问权限仅仅是开始,如何长期、隐蔽地维持权限才是真正的挑战。面对采用.NET技术栈的Web系统,传统的WebShell容易被安全设备检测,而基于ViewS...
.NET 基于 MachineKey 一键维持权限,反序列化工具实现RCE
在红队渗透测试中,获取初始访问权限仅仅是开始,如何长期、隐蔽地维持权限才是真正的挑战。面对采用.NET技术栈的Web系统,传统的WebShell容易被安全设备检测,而基于ViewS...
.NET 基于 MachineKey 一键维持权限,通过 ViewState 反序列化工具实现RCE
在红队渗透测试中,获取初始访问权限仅仅是开始,如何长期、隐蔽地维持权限才是真正的挑战。面对采用.NET技术栈的Web系统,传统的WebShell容易被安全设备检测,而基于ViewS...
反序列化挖掘与分析 | 51期
51期反序列化挖掘与分析Deserialization mining and analysis2025.6.0201 环境部署选择basic包定位到 config/web.php...
『Java代码审计零基础到高阶实战班』正式开班啦!手把手带你从零基础学习到反序列化,内存马以及框架漏洞等实战知识!!!
闪石星曜CyberSecurity专注代码审计、渗透测试干货分享与培训第一期还剩四个发车名额,赶紧来一起抱团学习!05月07日开课!01课程简介1、你是否渴望从零基础起步,真正掌握...
Adianti Framework 安全漏洞(CVE-2025-3590)
01 漏洞概况Adianti Framework是Adianti公司的一个开发 PHP 应用的框架。 Adianti Framework 8.0及之前版本存在安全漏洞,该漏洞源于反...
Vulhub项目的一些近期进展
好久没有写文章了,今天就给大家汇报一下Vulhub项目最近的一些进展。最大的进展或者说变化,其实用下面这张图就可以反映出来:这是Vulhub项目组的Github首页,大家可以从这张...