今日hw情报-某小众CMS 0day 反序列化漏洞

主要观点总结

文章主要描述了一个.NET系统存在的viewstate反序列化漏洞，涉及通过爆破获取默认key，利用yso构造数据包执行任意命令或内存马的情况。

关键观点总结

关键观点1: 系统为.NET开发

文章提到的系统是基于.NET开发的，这是关于该系统的基本背景信息。

关键观点2: Viewstate反序列化漏洞

文章指出该系统存在viewstate反序列化漏洞，这是关于系统安全性的重要信息。

关键观点3: 通过爆破获取默认key

文章描述了攻击者可以通过爆破的方式获取到系统的默认key，这是攻击手段之一。

关键观点4: 利用yso构造数据包

文章提到攻击者可以利用yso构造数据包，以此执行任意命令或内存马，这是攻击的具体实施方式。

关键观点5: 历史漏洞仅存在sql漏洞

文章指出除了当前发现的viewstate反序列化漏洞外，之前仅存在sql漏洞，这是关于系统历史安全状况的信息。

文章预览

此系统为.net开发，即为viewstate反序列化漏洞。 通过爆破获取到默认key，利用yso，构造数据包可以执行任意命令或内存马。 NET系统漏洞｜view state 学习 NET系统｜RC到注入内存马 搜索历史漏洞，仅存在sql漏洞。 特殊时期，所以先码死 ………………………………