总结的序列化与反序列化涉及到的demo

Unity3D的Json反序列化工具Newtonsoft.Json的dll文件

20180717官网发布Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)漏洞修复补丁

CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接： 1. 漏洞描述 Apache Log4j是美国阿帕奇（Apache）软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行反序列化,当侦听日志数据的不可信网络流量时,与反序列化小工具结合使用时,可以利用该类远程执行任意代码.影响包含目前最新版本. 2. 漏洞危害 高危 影响范围 1.2.4 <= Apache Log4j <= 1.2.17(最新版) 修复建议 1.升级到Apache Log4j 2系列最新版 2.禁止将该类所开启的socket端口暴露到互联网 3. 漏洞验证 Apac

jackson-databind<2.9.10.8存在反序列化远程代码执行漏洞（CVE-2020-35490/CVE-2020-35491），利用漏洞可导致远程执行服务器命令。该漏洞是由JNDI注入导致远程代码执行，Jackson-databind2.0.0-2.9.10.7版本中缺少org.apache.commons.dbcp2.datasources.PerUserPoolDataSource/org.apache.commons.dbcp2.datasources.SharedPoolDataSource黑名单类，攻击者可以利用上述缺陷，绕过限制，实现JNDI注入，最终在受害主机上执行

自用CVE-2018-3191 weblogic反序列化exp。

可以将已知结构的XMl文件生成C#结构体代码，并将该结构体与xml文件进行互相转换

ysoserial 是安全测试 playload 生成工具

测试专用

典型的C#的树形图操作，很多需要实现简单编程系统的参考，需要控件能解析成类的实例并保存，也需要读取文件反向解析为类的实例