fastjson 2.0.24 发布
fastjson 2.0.24 现已发布,这又是一个例行的Bug修复功能功能增强的版本,大家按需升级。 Issues 修复ContextFilter在getter序列化时获取不到Field的问题 #...
admin
Apache bRPC 1.4.0 发布,支持 RDMA
Apache bRPC 1.4.0 版本已发布,支持 RDMA。据称这是毕业之后的第一个版本,由新的版本经理王晓峰负责,顺利完成。 bRPC 于 2014 年诞生于百度基础架构部,是一款采用 C++...
本周安全技术推送(1.30-2.5)
本周关键词MYSQL JDBC反序列化、Meterpreter BOF、供应链攻击、Android 抓包、Bypass Credential Guard、CVE-2023-2405...
php安全攻防世界unserialize函数反序列化示例详解
步骤首先打开题目,发现给了一段源码:分析源码,发现类里面有三个魔术方法:__construct():构造函数,对类的变量进行初始化,创建时自动调用,用得到的参数覆盖$file__destruct():...
Java_TemplatesImpl字节码在BCEL和shiro中的利用
URLClassLoader可以从远程HTTP服务器上加载.class文件,从而执行任意代码。JAVA Classloader字节码的本质是一个字节数组byte[]defineClass加载class...
CVE-2015-4852 Weblogic T3 反序列化分析
0x01 前言看到很多师傅的面经里面都有提到 Weblogic 这一个漏洞,最近正好有一些闲暇时间,可以看一看。因为环境上总是有一些小问题,所以会在本地和云服务器切换着调试0x02 环境搭建•...
CVE-2020-14644 weblogic RemoteConstructor RCE via T3 protocol
前言这里学习了Weblogic中的两条CVEs,在反序列化调用readResolve方法进而调用defineClass方法进行类的加载,并执行我们的恶意逻辑,同样也通过寻找不同于CVE-2020-28...
SharpViewStateShell v1.0.2
只要知道 ASP.NET 中关于 ViewState 的 ValidationKey 和 ValidationAlg ,那么我们根据它反序列化函数中的判断,只需要从 ysoserial.net 扣取对...
CVE-2022-39198 Apache Dubbo Hession Deserialization Vulnerability Gadgets Bypass
CVE-2022-39198影响2.7.x ˂ version ˂ 2.7.183.0.x ˂ version ˂ 3.0.123.1.x ˂ version ˂= 3.1.0分析漏洞描述我们可以看看...