WordPress 图片优化和压缩插件:Smush 优化图像,打开延迟加载,调整大小,压缩和提高您的Google页面速度,使用令人难以置信的强大且100%免费的WordPress图像扫描器,由WPMU DEV的超级团队带给您!文章源自知更鸟-https://zm 05-04 690 0
判断 WordPress 文章中有特定短代码时加载脚本 短代码是WordPress常用的功能,虽然目前已被区块所取代,但还是普遍应用中。有些短代码会用到JS脚本,但又不想全局加载,可以用下面的代码实现,添加短代码时仅在当前页面加载JS脚本 05-04 493 0
AnQuanKeInfo Ysoserial CommonsCollections1 详细分析 前面介绍了ysoserial工具的结构以及一些使用方法,最终自己构造利用链添加在ysoserial的工具中。为了更好的认识反序列化漏洞的相关利用,从本节开始介绍 2023-11-292评论
AnQuanKeInfo Java反序列化之与JDK版本无关的利用链挖掘 一、前言: 总感觉年纪大了,脑子不好使,看过的东西很容易就忘了,最近两天又重新看了下java反序列化漏洞利用链相关技术,并尝试寻找新的利用链,最后找到commo 2023-11-292评论
AnQuanKeInfo ysoserial CommonsCollections2 详细分析 上篇文章详细分析了CommonsCollections1利用链的基础技术和构造,本节继续学习CC2链的构造和利用,将会涉及到新的知识点和反序列化知识。CC2链构 2023-11-293评论
AnQuanKeInfo ysoserial CommonsCollections3/4 详细分析 ysoserial 工具的CC3和CC4链是CC1和CC2 链的扩展链,触发过程与前两个链大致相同,主要是命令执行部分有所变化。借着这两个链的学习,巩固下前面两 2023-11-291评论
AnQuanKeInfo 从TemplatesImpl类Gadget中提取bytecode 作者:fnmsd@360云安全 大半年前开的头,扔那就给忘了,终于想起来给写完了(*/ω\*)前言 在Java反序列化的gadget中,有很多使用可反序列化Te 2023-11-291评论
AnQuanKeInfo ysoserial CommonsCollections5/6 详细分析 CC5 、CC6 链利用了新的反序列化触发点,命令执行为CC1的利用方式,作者换了两个反序列化入口方法。同时又引出了Java HashMap和HashSet等利 2023-11-291评论
AnQuanKeInfo 新的反序列化链——Click1 前段时间ysoserial又更新了一个链Click1,网上好像一直没人分析,最近在学习java,就稍微分析下。 一、 利用代码 Click1依赖click-no 2023-11-250评论
AnQuanKeInfo ysoserial魔改系列-Fuzzing SUID 0x00 前言 在这次护网时就已产生了魔改ysoserial的想法, 原因是其本身自携带了许多的反序列化Gadgget,并且frohoff也在内部适配了许多的U 2023-11-243评论
AnQuanKeInfo ysoserial CommonsBeanutils1 & Click1 详细分析 CommonsBeanutils1 是一条比较古老的反序列化利用链,今年出的新利用链Apache Click1与之非常相似,同时填补在上篇文章中留的坑,解决op 2023-11-244评论
AnQuanKeInfo Java安全之ysoserial-URLDNS链分析 0x00 写在前面 Java提供了一种序列化的机制可以将一个Java对象进行序列化后,用一个字节序列表示,并在Java虚拟机之间或网络间传输,之后可通过read 2023-11-241评论
AnQuanKeInfo 反序列化入口PriorityQueue分析及相关Gadget总结 一、前言 最近分析了下Weblogic CVE-2020-14654和CVE-2020-14841的Gadget,里面都用到了PriorityQueue作为入口 2023-11-242评论
AnQuanKeInfo Java反序列化和集合之间的渊源 0x01 前言 从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口,但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一 2023-11-240评论
AnQuanKeInfo Java安全之ysoserial-URLDNS链分析 0x00 写在前面 Java提供了一种序列化的机制可以将一个Java对象进行序列化后,用一个字节序列表示,并在Java虚拟机之间或网络间传输,之后可通过read 2023-11-245评论
AnQuanKeInfo 二进制角度构造Java反序列化Payload 介绍 最近用Go编写Java反序列化相关的扫描器,遇到一个难点:如何拿到根据命令生成的payload 通过阅读已有开源工具的源码,发现大致有以下两种解决方案执行 2023-11-242评论
AnQuanKeInfo ysoserial系列-Commons-Collections1链分析 前言 在之前的文章中已经分析了ysoserial中 URLDNS 链,有兴趣的师傅可以阅读一下。但是这条链子也只是 Java 反序列化学习的开胃菜,接下来的 C 2023-11-247评论
AnQuanKeInfo java安全-02RMI 基础知识动态代理 反射攻击方式注册端攻击服务端 java -cp .\ysoserial-master-8eb5cbfbf6-1.jar ysoserial.e 2023-11-240评论
AnQuanKeInfo URLDNS Gadget分析 前言 URLDNS是ysoserial中比较简单的gadget,可以通过分析其利用链来了解反序列化执行java代码的过程。相较于其他gadget,URLDNS不 2023-11-241评论
AnQuanKeInfo Java安全攻防之从wsProxy到AbstractTranslet 本文主要是围绕在Java反序列化利用过程中,默认使用 ysoserial 带来的一些问题和局限性。通对代码的二次改造,最终能完成序列化数据的体积的减少和Webs 2023-11-243评论
AnQuanKeInfo 二进制角度构造Java反序列化Payload ZONE.CI 全球网:介绍 最近用Go编写Java反序列化相关的扫描器,遇到一个难点:如何拿到根据命令生成的payload 通过阅读已有开源工具的源码,发现大致有以下两种解决方案执行命令法 使用命令 2023-11-131评论
AnQuanKeInfo java安全-02RMI ZONE.CI 全球网:基础知识动态代理 反射攻击方式注册端攻击服务端 java -cp .\ysoserial-master-8eb5cbfbf6-1.jar ysoserial.exploit.J 2023-11-132评论