Struts2Deser | © 哨兵 | Sentry CyberSecurity

GITLAB

I. GITLAB CVE-2020-10977 任意文件读取漏洞

II. GITLAB CVE-2020-10977 任意文件读取漏洞导致的RCE

COBALT STIKE

I. COBALT STIKE服务器搭建历程

II. COBALT STIKE服务器隐藏真实IP

III. 域名前置隐藏C2服务器

IV. CS上线木马免杀入门

APACHE LOG4J2

I. APACHE LOG4J2 RCE复现历程

I. BURPSUITE验证码插件实验

CTF

I. CTF - 代码审计向

II. CTF - 密码学与杂项

二进制研究/BIN

I. HIKVISION-CONFIGURATIONFILES-DECRYPTER

II. ROUTER-BINFILE-ANALYSIS

POLKIT

I. POLKIT-CVE-2021-3560

II. POLKIT-CVE-2021-4034复现

代理池：BASED ON SCYLLA

I. SCYLLA 搭建步骤

WAF

I. MOD-WAF-BYPASS-WALKTHROUGH

II. MODSEC & CLOUDFLARE WAF INITIAL RESEARCH

代码审计

I. DYNAMIC-ANALYSIS-OF-JAVA-FRAMEWORK-CODE

II. 安全与开发之：MAVEN构建排错

III. 浪潮CLUSTERENGINEV4.0代码审计历程

SPRING

I. SPRINGBOOT-MEMORY-FILES-HEAPDUMP-ANALYSIS

II. CVE-2022-22947 SPRING-CLOUD-GATEWAY-RCE

其他研究

I. SQL注入原理分析

II. STRUTS2DESER

III. 基于内存的SHIRO框架WEBSHELL攻击研究

IV. 通达OA利用代码分析

V. JRMP-GADGET

反序列化

I. SHIRODESER

II. JAVADESER

选择:

本文发布于：2020-11-07 | 哨兵安全实验室

分享：Struts2反序列化

SHIRO框架简介以及相关用途
- ✅简介：关于STRUTS2的历史和相关实现组件
- ✅用途：STRUTS2框架的使用场景和解决痛点
反序列化分析
- ✅ JAVA代码反序列化FRAMES
- ✅ 调试环境部署
为什么写这样的代码
- ❎开发者写这样代码的用意
- ❎开发者如何修复
反序列化实战
- ✅利用表达式计算注入执行代码
- ✅最终目标：GETSHELL

申明

转载请申明本文档链接

Post by: Bin4xin.

其他

HOME · 镜像 · 博客 · WIKI

此文档对您有帮助吗

文章目录

.. /
研究
/ 其他研究 /


Author: Bin4xin.
Build
Ver: 2.1.5.1db1b0f release By Action.

Time
Build in: Sat, 07 May 2022 08:56:41 +0800

Last modified
未做修改