攻防实战赋能dd2系列一
在实战中优化工具是最好的选择,最近两周也是有机会参与了一个小型攻防,攻防中dd2确实提供了一些便利,但也存在一些问题,带着实战中发现的问题进行了一波优化。1. Dataease命令...
admin
fastjson攻防(0day)
fastjson攻防课程要来了。以下所有链打的都是热门链。不热门不讲。另外还有个大福利就是直播讲fastjson的0day。挖出来也有一段时间了。也可以公布了。会在直播讲怎么挖掘的...
敏感行业下的Fastjson打点实战:攻破加固N次的古董级系统
免责声明由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权...
jdbc反序列化利用武器研究
jdbc反序列化漏洞原理这里就不多介绍了。总之jdbc连接地址可控就能触发反序列化漏洞。实战当中遇到的挺多尤其是fastjson1.2.68以下版本利用。学员问到了jdbc利用刚好...
被动扫描的fastjson漏洞探测插件 FastjsonScan4Burp(2月28日更新)
===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损...
工具推荐 | fastjson一键命令执行检测工具
点击上方蓝字关注我们现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队“设为星标”,否则可能就看不到了啦!工具介绍fastjson一键命令执行工具,支持批量检测,有...
限时开放:Java后台场景漏洞实战靶场
当0day攻击遇上凌晨3点,企业防线为何总在深夜失守?某金融集团防御日志显示,攻击者通过 JS 文件硬编码密钥绕过双因素认证,于凌晨 3:17 横向渗透至核心系统。此类 “静默式入...
一款探测fastjson漏洞的BurpSuite插件
作者:ce-automne项目地址:https://github.com/ce-automne/FastjsonPatrol点击上方,关注公众号如文章对你有帮助,请支持点下“赞”...