80 个反序列化漏洞全景系列 (6) | 深入剖析特定代码场景下触发漏洞的可能性
在反序列化漏洞一直是威胁系统安全的重要隐患之一,攻击者常常利用此类漏洞执行恶意代码、获取敏感信息等。近期,有师傅提出在特定登录功能代码中是否存在反序列化漏洞的疑问,尤其是在使用ys...
admin
CVE-2025-53772 IIS Web Deploy 系统反序列化漏洞深度剖析
.NET企业应用频繁上线、持续集成和持续部署逐渐成为主流,Web Deploy正好满足了这一需求:能将 Web 应用、站点配置、数据库、证书等打包并快速部署至目标服务器。msdep...
80 个反序列化漏洞全景系列 (5) | 介绍一种绕过WAF拦截特征码的方法
在.NET渗透测试中,BinaryFormatter 反序列化常被用作概念性的攻击载体。理解其内部结构、编码特征以及常见检测方法,可以帮助渗透测试者评估防御的稳健性,同时也让防御团...
80 个反序列化漏洞全景系列 (4) | 介绍一个业务功能叠加特殊环境下的绕过方法
在 .NET 安全实战中,反序列化漏洞一直被视为极高危的攻击面。其原因很简单,一旦研发在处理输入数据时,使用了 BinaryFormatter 这样的高危类库,那么攻击者就有机会通...
CVE-2025-53772 IIS Web Deploy 系统反序列化漏洞深度剖析
.NET企业应用频繁上线、持续集成和持续部署逐渐成为主流,Web Deploy正好满足了这一需求:能将 Web 应用、站点配置、数据库、证书等打包并快速部署至目标服务器。msdep...
80个反序列化漏洞全景合集 (3) | 介绍一个 ViewState 反序列化不常见的知识点
在 .NET 的运行机制中,ViewState 承担着保存控件状态的重要角色,这也是红队在渗透测试中常关注的攻击面之一。设计初衷是让页面在回传时能够恢复控件状态,因此每次请求中都会...
80 个反序列化漏洞全景系列 (1) | 一个大多数人都容易忽视的 Ysoserial.Net 使用误区
在日常的安全研究与攻防演练中,很多研究人员都会用到 ysoserial.net 这款工具来生成不同格式的反序列化载荷。其中很多人会遇到这样的困惑:明明使用了相同的工具和命令,却始终...
用友漏洞检测:模块持续更新,防护不脱节
点击上方蓝字关注我们工具介绍用友漏洞检测,持续更新漏洞检测模块20250718 fupo_for_yonyou 3.1解决issue里的所有报错问题增加http代理:https:/...
.NET 介绍一种漏洞挖掘思路,绕过 GZip 实现反序列化
在.NET反序列化漏洞审计与利用过程中,攻击者通过 BinaryFormatter 类型进行 payload 加载与执行。本文将从 GZip 技术基础出发,逐步分析如何结合 Bin...
jdbc反序列化利用武器研究
jdbc反序列化漏洞原理这里就不多介绍了。总之jdbc连接地址可控就能触发反序列化漏洞。实战当中遇到的挺多尤其是fastjson1.2.68以下版本利用。学员问到了jdbc利用刚好...