摘要:
把一些没公开的学习笔记陆续公开,就当备份了 漏洞挖掘时freemarker模版注入位置一般出现在模板编辑处 freemarker通用payload <#assign test="freemarker.template.utility.Execute"?new()> ${test("open /App 阅读全文
摘要:
前言:年前看的这个,被CVE-2022-44621狠狠坑了,找了快一周的利用路径最终得出无法利用的结果 CVE-2022-43396 漏洞概述 Apache Kylin™是用于大数据的开源,分布式分析数据仓库;它旨在提供大数据时代的OLAP(在线分析处理)功能。通过在Hadoop和Spark上革新多 阅读全文
摘要:
文章首发于sec-in https://www.sec-in.com/article/2042 拿到题目代码 只有一个EvilController控制器,获取base参数值然后base64解码后带入readObject,很明显的一个反序列化 这里首先是一个url解析绕过的考点,这个反序列化点匹配的路 阅读全文
摘要:
文章首发于sec-in https://www.sec-in.com/article/1993 1.serialKiller原理: 通过黑名单限制反序列化的类 serialkiller.conf内容 <?xml version="1.0" encoding="UTF-8"?> <!-- serial 阅读全文
摘要:
RMIRegistryExploit 首先ysoserial里的这个payload在jep290以后就不能用了( JDK 7u131 JDK 8u121 以后) 这里只是分析一下RMIRegistryExploit这个exploit的利用原理 在rmi中涉及到一个注册中心的概念 其中服务端通过Reg 阅读全文
摘要:
反序列化漏洞是当java原生的反序列化readObject方法参数可控时,java代码中存在可用的gadget链,就会造成java反序列化漏洞。而可用的gadget链指的是,当使用readObject反序列化一个对象时,该对象的类中如果存在私有的readObject方法,该readObject方法会 阅读全文
摘要:
用去年写的笔记混点博客kpi... 一直没有详细学习过XStream漏洞,感觉和原生反序列化反射触发私有readObject以及fastjson触发setter/getter都挺不一样的,觉得很有意思,做一下学习记录。 CVE-2013-7285 这个编号是XStream的第一个cve编号,经典的E 阅读全文
摘要:
fastjson反序列化的一些前置知识 我们都知道fastjson触发漏洞的点在setter或者getter,以及fastjson反序列化存在parse和parseObject两个方法,在我最开始了解fastjson反序列化时看到一篇文章给出了一个说法: "parse只触发setter,parseO 阅读全文
摘要:
文章首发于先知 https://xz.aliyun.com/t/8445 很久没写博客了,打理一下 0x00:背景 shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload 阅读全文
摘要:
18年p师傅在知识星球出了一些代码审计题目,其中就有一道难度为hard的js题目(Thejs)为原型链污染攻击,而当时我因为太忙了(其实是太菜了,流下了没技术的泪水)并没有认真看过,后续在p师傅写出writeup后也没有去分析,最近在先知看到niexinming师傅出的一道js的原型污染链攻击题目的 阅读全文