写在前边 做了不少PHP反序列化的题了,是时候把坑给填上了。参考了一些大佬们的博客,自己再做一下总结 1.面向对象2.PHP序列化和反序列化3.PHP反序列化漏洞实例 1.面向对象 在了解序列化和反序列化之前,先简单了解一下PHP的面向对象。 万物皆可对象。根据官方手册,PHP中,以关键字class ...
分类:
Web程序 时间:
2020-04-25 00:57:50
阅读次数:
77
ObjectInputStream反序列化先前使用ObjectOutputStream编写的原始数据和对象。 构造方法:ObjectInputStream(InputStream in)创建从指定的InputStream读取的ObjectInputStream。 readObject()从Objec ...
分类:
其他好文 时间:
2020-04-24 17:27:50
阅读次数:
212
/** * * 【问题】 * 二叉树的反序列化 * 通过文件内容重建原来的二叉树 * 【解析】 * 把结果字符串str变成字符串类型的数组,记为values, 数组代表一棵二叉树先序遍历 * 的节点顺序。例如, str= "l2!3!#!#!#!中,生成的values为["12","3","#"," ...
分类:
其他好文 时间:
2020-04-24 13:12:51
阅读次数:
73
[TOC] BUUCTF[NPUCTF2020] web 部分WP 上周做了做NPUCTF的题,今天在buuoj上面复现了一波,顺便写写write up ReadlezPHP 这是一道简单的反序列化的题 进入页面没什么发现,只有一个跳转到西工大官网的链接,然后查看源码,发现一个隐藏的a标签 然后进入 ...
分类:
Web程序 时间:
2020-04-23 21:15:42
阅读次数:
575
序列化和反序列化代码如下 /// <summary> /// 将一个object对象序列化,返回一个byte[] /// </summary> public static byte[] ObjectToBytes(object obj) { using (MemoryStream ms = new ...
1.ls命令 ls 命令不仅可以查看 linux 文件夹包含的文件,而且可以查看文件权限(包括目录、文件夹、文件权限)和查看目录信息等等。 常用参数 ls -a 列出目录所有文件,包含以.开始的隐藏文件 ls -A 列出除.及..的其它文件 ls -r 反序排列 ls -t 以文件修改时间排序 ls ...
分类:
系统相关 时间:
2020-04-22 16:10:03
阅读次数:
77
1.查询排序(order by) 语法 :order by 字段 asc/desc -- asc: 顺序,正序。数值:递增,字母:自然顺序(a-z) -- desc: 倒序,反序。数值:递减,字母:自然反序 (z-a) 案列:按照id顺序排序? SELECT * FROM student ORDER ...
分类:
数据库 时间:
2020-04-22 13:15:55
阅读次数:
62
在 Lua 中, table 是唯一的数据结构。共享内存字典shared dict, 是在 OpenResty 编程中最为重要的数据结构。它不仅支持数据的存放和读取,还支持原子计数和队列操作。 基于 shared dict,可以实现多个 worker 之间的缓存和通信,以及限流限速、流量统计等功能。 ...
分类:
其他好文 时间:
2020-04-21 23:50:04
阅读次数:
107
今天在公司分析cve-2020-2551漏洞的时候,发现了一个新的类,叫hashtable。 看了下,实现了Serializable的接口,说明这个类是可以序列化的。符合pop链的条件之一。 接下来看下hashtable的readobject方法: 1 private void readObject ...
分类:
Web程序 时间:
2020-04-21 23:40:21
阅读次数:
141
一、什么是粘包问题 发送端可以是一K一K地发送数据,而接收端的应用程序可以两K两K地提走数据,当然也有可能一次提走3K或6K数据,或者一次只提走几个字节的数据,也就是说,应用程序所看到的数据是一个整体,或说是一个流(stream),一条消息有多少字节对应用程序是不可见的,因此TCP协议是面向流的协议 ...
分类:
其他好文 时间:
2020-04-21 18:20:20
阅读次数:
57
