Cũng đã khá lâu kể từ lần cuối viết lách, Phần là vì công việc khá nhiều, phần nữa là dạo này bị mất cảm hứng để viết :(, nên là ko còn viết gì nữa từ lúc xong đồ án tới gi�...

Kết thúc đồ án tốt nghiệp và quay trở lại với công việc thường ngày, mình được giao job hỗ trợ audit 1 product IoT. Do tâm trạng còn đang rối bời nên ko dám nhận xử lý chính vụ này. Po...

Chào mọi người, mình đã quay trở lại với part 2 đây. Nếu bạn chưa đọc thì nên đọc qua part 1 trước khi bước vào part 2 này, link bài viết tại đây: https://medium.com/@testbnull/codeql-th%E1%BA%...

Chào mọi người, cũng phải gần 2 tháng kể từ blog cuối, dạo này hơi bận bịu với nghề tay trái nên cũng chưa có thời gian viết lách, chứ ko phải là bị dính phốt nên phải chạy trốn đ�...

Vậy là ngày 05/03 vừa rồi, ZDI đã publish bài phân tích chi tiết về CVE-2020–2555 (https://www.thezdi.com/blog/2020/3/5/cve-2020-2555-rce-through-a-deserialization-bug-in-oracles-weblogic-server). Trước đó mình c�...

The Art of Deserialization Gadget Hunting [part 2] Như đã hứa hẹn trong bài trước, phần 2 này sẽ tiếp tục nói về một số gadgetchain thông dụng trong bộ tool ysoserial. Việc phân tích gadgetchain như n...

Bài viết này phần nào đó là chia sẻ lại những kiến thức riêng về Java Deserialization mình đã nghiên cứu trong thời gian qua cho mọi người, phần nữa là để giúp chính mình nhớ lại những ...

Câu chuyện về liferay tưởng chừng như đã đi đến một happy ending và đi vào dĩ vãng, Mình cũng đã khá là mệt mỏi khi follow thằng này gần 1 năm rồi, … Câu chuyện lại tiếp diễn khi v�...

Trong cái thế giới của pentester, ta thường gặp những người lạ với mặt mũi chẳng thân thiện, khó nhìn mà ta tạm gọi đó là các encrypted strings, encrypted params. Với việc mã hóa các tham s�...

Sau một thời gian nghiên cứu về Phar Deserialization, hôm nay mình xin chia sẻ một cách khái quát về lỗ hổng này hướng tới các bạn mới bắt đầu tìm hiểu. Kỹ thuật mới này được trình b�...