代码审计
文章平均质量分 55
lllllx@
脚踏实地
展开
-
java 反序列化(1):Groovy链
1,完整利用代码如下: public class groovtest { static String command = "calc"; public static void main(String[] args){ // write object try{ //封装我们需要执行的对象 MethodClosure methodClosure = new MethodClosure(command,"execut原创 2021-03-24 20:55:42 · 260 阅读 · 0 评论 -
php parse_url绕过白名单
$host = parse_url($url, PHP_URL_HOST); if (!in_array($host, [ 'xxx.xxx', ])) 已知这种检验,判断url的host是否在白名单中,此时可以通过http://www.baidu.com@xxx.xxx这种方式绕过,http://www.baidu.com@xxx.xxx解析host为xxx.xxx,而当浏览器访问这个网站时,\符号会变成/符号,导致绕过。 ...原创 2020-09-03 12:32:03 · 791 阅读 · 0 评论