![](https://img-blog.csdnimg.cn/20201014180756918.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
框架漏洞
文章平均质量分 90
框架漏洞
明月清风~~
这个作者很懒,什么都没留下…
展开
-
ThinkPHP5.1.x反序列化漏洞分析
发表于 2020-01-11| 更新于 2020-06-07|代码审计字数总计:2.6k|阅读时长: 10 分钟环境搭建ThinkPHP 自版本 5 以后采用 composer 安装模块,这里附上安装指令composer create-project --prefer-dist topthink/think=5.1.35 tp5.1.35由于反序列化需要触发点,官方框架里是没有现成的反序列化触发点,我们这里给他构造一个设置完毕后在 TP 根目录下启动服务即可php think run转载 2022-05-04 09:17:19 · 1147 阅读 · 0 评论 -
框架漏洞--小结
起因:之前被问到框架漏洞卡壳,正好看到先知社区的2019年文章有写就来记录一下0x04 框架漏洞寻找CMS,或者网页框架,以及某些厂商的服务存在漏洞例如Apache中间件组件Shiro反序列化漏洞,这里简单说一下:需要一个ysoserial.jar https://github.com/frohoff/ysoserial以及默认秘钥4AvVhmFLUs0KTA3Kprsdag==2AvVhdsgUs0FSA3SDFAdag==2AvVhdDFCVdfdfDFAdag==3AvVhmFLU转载 2022-04-05 17:28:08 · 1044 阅读 · 0 评论 -
从零开始学习fastjson反序列化
转至:https://www.freebuf.com/vuls/276812.html打大狼 2020-03-31 14:00:36 403083 2fastjson使用简介fastjson项目地址:https://github.com/alibaba/fastjson用来实现Java POJO对象与JSON字符串的相互转换,比如:User user = new User();user.setUserName("李四");user.setAge(24); String userJson转载 2022-03-21 21:15:25 · 3831 阅读 · 0 评论 -
Struts2-057 两个版本RCE漏洞分析(含EXP)
云影实验室 2018-08-27 10:15:02 485149 2*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。前言2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(S2-057/CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。该漏洞是由于在Struts2开发框架中使转载 2022-03-21 20:07:20 · 563 阅读 · 0 评论