0x00前言 在php中反序列漏洞,形成的原因首先需要一个unserialize()函数来处理我们传入的可控的序列化payload。但是如果对unserialize()传入的内容进行限制,甚至就不存在可利用的unserialize()函数的时候,就可以借助phar协议触发反序列化操作了 0x01 构 ...
分类:
Web程序 时间:
2020-06-13 19:22:35
阅读次数:
76
<responses> <response> <order_serial_no>xfs101100111012</order_serial_no> <mail_no>4060005668136</mail_no> <pdf_info>王志奇gfz</pdf_info> <status>1</stat ...
概念 : 序列化 : 将一个 Java 对象输出到文件中存储. ObjectOutputStream 对象输出流 反序列化 : 将文件中的数据读取为一个 Java 对象. ObjectInputStream 对象输入流 类通过实现 Java.io.Serializable 接口以启用其序列化功能 该 ...
分类:
其他好文 时间:
2020-06-13 00:25:25
阅读次数:
58
漏洞原理 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定 ...
分类:
Web程序 时间:
2020-06-10 22:46:27
阅读次数:
222
str[start_index:end_index:step] step:正负数均可,其绝对值大小决定了切取数据时的‘‘步长”,而正负号决定了“切取方向”,正表示“从左往右”取值,负表示“从右往左”取值。当step省略时,默认为1,即从左往右以步长1取值。“切取方向非常重要!”“切取方向非常重要!” ...
分类:
编程语言 时间:
2020-06-10 13:15:54
阅读次数:
63
Unity基本网络知识 网络的作用: 信息交互 资源分布 分布式处理 网络通讯协议: 七层协议: IP地址: 每一个可以连接网络的设备,都有自己的一个独一无二的IP地址 NAT地址转换: NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部 ...
分类:
编程语言 时间:
2020-06-10 11:11:30
阅读次数:
104
XDocument简单入门 东边的小山 2018-07-04 16:17:45 2960 收藏 2 最后发布:2018-07-04 16:17:45首发:2018-07-04 16:17:45 分类专栏: NET C# 展开 什么是XML? XML(extensible markup languag ...
分类:
其他好文 时间:
2020-06-10 11:10:05
阅读次数:
52
celery的简介 celery是一个基于分布式消息传输的异步任务队列,它专注于实时处理,同时也支持任务调度。它的执行单元为任务(task),利用多线程,如Eventlet,gevent等,它们能被并发地执行在单个或多个职程服务器(worker servers)上。任务能异步执行(后台运行)或同步执 ...
分类:
编程语言 时间:
2020-06-09 23:27:41
阅读次数:
107
前言 最近都没刷题了,成懒狗了。。。 知识点 PHP反序列化逃逸 任何具有一定结构的数据,只要经过了某些处理而把自身结构改变,则可能会产生漏洞 关键词数增加 例如: where->hacker,这样词数由五个增加到6个 关键词数减少 例如:直接过滤掉一些关键词 解题 打开题目有个链接,抓包有提示,直 ...
分类:
Web程序 时间:
2020-06-07 19:34:24
阅读次数:
171
shiro java 反序列漏洞复现 打开虚拟机启动靶场/vulhub-master/shiro/CVE-2016-4437环境(省略) 推荐网址:https://www.cnblogs.com/bmjoker/articles/11650295.html 首先判断是否存在shiro反序列化漏洞: ...
分类:
编程语言 时间:
2020-06-07 19:31:20
阅读次数:
335
