Struts2Deser | © 哨兵 | SENTINEL SECURITY, LAB

JMREPORT

I. JIMUREPORT VULN WALKTHROUGH BACKUP

OPENLITESPEED

I. OPENLITESPEED CVE-2022-0072 VULNS

APEREO CAS

I. APEREO CAS < 4.2.X 反序列化远程代码执行

鱼叉攻击策略

I. 鱼叉攻击策略落地：从零到一

II. 鱼叉攻击策略落地：邮件网关应用

GITLAB

I. GITLAB CVE-2020-10977 任意文件读取漏洞

II. GITLAB CVE-2020-10977 任意文件读取漏洞导致的RCE

III. GITLAB CVE-2021-22205 SNIPPET RCE

COBALT STRIKE

I. COBALT STRIKE服务器搭建历程

II. COBALT STRIKE服务器隐藏真实IP

III. CS上线木马免杀入门

APACHE LOG4J2

I. APACHE LOG4J2 RCE复现历程

II. APACHE LOG4J2 RCE JDK限制实验

OCR IN BP

I. BURPSUITE验证码插件实验

GET-STARTED

I. GET-STARTED

CTF

I. CTF - 代码审计向

II. CTF - 杂项

III. CTF - 密码学与杂项

IV. 2022年网鼎杯玄武组-解题记录

V. 2022年网鼎杯玄武组赛题复盘-[WEB-FINDIT]

VI. 2022年网鼎杯玄武组赛题复盘-[WEB-EZJAVA]

二进制研究/BIN

I. HIKVISION-CONFIGURATIONFILES-DECRYPTER

II. ROUTER-BINFILE-ANALYSIS

POLKIT

I. POLKIT-CVE-2021-3560

II. POLKIT-CVE-2021-4034复现

代理池：BASED ON SCYLLA

I. SCYLLA 搭建步骤

WAF

I. MOD-WAF-BYPASS-WALKTHROUGH

II. MODSEC & CLOUDFLARE WAF INITIAL RESEARCH

代码审计

I. DYNAMIC-ANALYSIS-OF-JAVA-FRAMEWORK-CODE

II. 安全与开发之：MAVEN构建排错

III. 浪潮CLUSTERENGINEV4.0代码审计历程

IV. CVE-2022-40664 SHIRO BYPASS研究历程

SPRING

I. SPRINGBOOT-MEMORY-FILES-HEAPDUMP-ANALYSIS

II. CVE-2022-22947 SPRING-CLOUD-GATEWAY-RCE

其他研究

I. SQL注入原理分析

II. STRUTS2DESER

III. 基于内存的SHIRO框架WEBSHELL攻击研究

IV. 通达OA利用代码分析

V. JRMP-GADGET

反序列化

I. SHIRODESER

II. JAVADESER

                    sentrylab.cn /
                        
                研究
                 /
                        
                             其他研究 
                        
        Bin4xin

        post
        
            on Nov 7, 2020

分享：Struts2反序列化

SHIRO框架简介以及相关用途
- ✅简介：关于STRUTS2的历史和相关实现组件
- ✅用途：STRUTS2框架的使用场景和解决痛点
反序列化分析
- ✅ JAVA代码反序列化FRAMES
- ✅ 调试环境部署
为什么写这样的代码
- ❎开发者写这样代码的用意
- ❎开发者如何修复
反序列化实战
- ✅利用表达式计算注入执行代码
- ✅最终目标：GETSHELL

文章目录

分享：Struts2反序列化