- 博客(13)
- 收藏
- 关注
RSS订阅原创 【反序列化】实现反序列化魔法函数自动调用计算器
当反序列化参数中包含 cmd 参数时,会调用 __wakeup 方法,该方法接收 cmd 参数并执行系统命令。所以,当序列化参数中包含 cmd 参数时,它会被用于 system 函数,并被执行。反序列化:解析从序列化字符串中恢复对象的函数(通过先将序列化字符串解码成字节流,然后再将其反序列化为对象的方式实现的。__wakeup() unserialize()时会自动调用这个函数。__sleep() serialize()时会自动调用这个函数。以 __ 开头的函数,是PHP 中的魔术方法。
2023-11-24 21:42:30
523
1
原创 网页渗透测试基本步骤
whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息。确定范围,域名渗透的范围,不能够对指定范围外的子域名进行渗透。授权,拿到渗透测试权限(个人或者公司对公司的授权),
2023-11-24 21:24:52
571
1
原创 编写Java解释反序列化漏洞
反序列化(Deserialization)是指将已经序列化(Serialization)的数据转换回其原始的对象形式。在计算机程序中,常常需要将一个对象转换成可存储或可传输的数据格式,比如二进制或XML等,这个过程就叫做序列化。而当需要使用这个对象时,需要将其从序列化的数据格式转换回对象形式,这个过程就叫做反序列化。反序列化涉及到数据的解码和还原,因此它可能会面临一些安全问题。例如,攻击者可能会在序列化数据中注入恶意代码,以便在反序列化时执行攻击。
2023-11-24 21:13:00
530
1
原创 编写Java反序列化的函数实现对以tangg命名类的序列化和反序列化
请注意,为了正确地执行序列化和反序列化操作,请确保文件路径的正确性并处理可能的异常情况。然后,我们在该类中添加了静态方法。下面是一个简单的示例,演示了如何对以。来执行对象的序列化和反序列化操作。在上面的示例中,我们创建了一个名为。中,并从该文件中反序列化对象。方法中,我们创建了一个。对象,将其序列化到文件。
2023-11-24 20:55:21
530
1
原创 解释Java继承和重写
在主类`Main`中,我们分别创建了`Animal`和`Cat`的对象,并调用它们的`sound`方法。由于多态性的原理,当我们调用`animal.sound()`时,实际执行的是父类`Animal`的`sound`方法;当我们调用`cat.sound()`时,实际执行的是子类`Cat`重写后的`sound`方法。子类`Cat`中有一个名为`sound`的方法,它使用注解`@Override`覆盖(重写)了父类`Animal`中的`sound`方法。在子类中,我们改变了方法的实现,使猫发出特定的声音。
2023-11-22 19:57:28
1238
原创 演示如何挖掘xss漏洞
跨站点脚本(Cross Site Scripting,XSS)是指客户端代码注入攻击,攻击者可以在合法网站或 Web 应用程序中执行恶意脚本。当 Web 应用程序在其生成的输出中使用未经验证或未编码的用户输入时,就会发生 XSS。由于与 CSS (Cascading Style Sheet)重名,所以就更名为 XSS。
2023-11-21 20:32:51
499
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人