进阶篇
该篇幅在理论原理的基础上,通过演示来深入学习
r0ckysec
r0cky
展开
-
渗透之路进阶 -- SQL注入进阶(盲注和报错注入)
SQL注入之盲注实战过程中,大多情况下很少会有回显,这个时候就要去使用盲注技术盲注,Blind SQL Injection,听这名字就感觉整个过程就是一个盲目的过程当注入时,没有任何提示的时候,就改用上盲注常见函数ascii(str) str是一个字符串参数,返回值为其最左侧字符的ascii码。通过它,我们才能确定特定的字符。substr(str,start,len) 这个函数是...原创 2019-09-18 22:36:36 · 604 阅读 · 0 评论 -
浅谈Java反序列化漏洞原理(案例未完善后续补充)
序列化与反序列化序列化用途:方便于对象在网络中的传输和存储java的反序列化序列化就是将对象转换为流,利于储存和传输的格式反序列化与序列化相反,将流转换为对象例如:json序列化、XML序列化、二进制序列化、SOAP序列化序列化:java.io.ObjectOutputStream 类中的 writeObject()该方法把对象序列化,将字节序列写到一个目标输出流中(.s...原创 2019-09-18 22:37:27 · 237 阅读 · 0 评论 -
浅谈PHP反序列化漏洞原理
序列化与反序列化序列化用途:方便于对象在网络中的传输和存储0x01 php反序列化漏洞在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。常见的序列化格式:二进制格式字节数组json字符串xml字符串序列化就是将对象转换为流,利于储存和传输的格式反序列化与序列化相反,将流转换为对象例如:json序列化、XML序列化、二进制序列化、SO...原创 2019-09-18 22:38:20 · 615 阅读 · 0 评论