代码审计
文章平均质量分 78
一睡12点
这个作者很懒,什么都没留下…
展开
-
从某比赛题目ezgadgets复现看java反序列化
我们平常在使用ysoserial这样的工具时,并不会太在意payload是如何生成的。反正工具一把梭就完事了,但是出题人总是想尽办法不让我们使用工具。所以没办法,只能自己写了。 题目复现给出源码结构如下 controller作为控制器,并且只有一个class,那么漏洞点肯定在这里面。给出代码如下 readObject是典型的java反序列化,这里的输入流可控。我们传入data后,会将数据直接存放到ObjectInputStream对象中。 这里直接使用ysoserial,很容易发现存在一个问题,就是这里原创 2021-11-29 19:08:04 · 3402 阅读 · 1 评论 -
php源代码的编译以及反序列化漏洞的底层实现
现在这么卷,学个java都要精通jvm。所以学习php还是要了解了解底层的,下面简单介绍一下php源码的编译。 环境配置和简单调试 首先需要Vistual Studio 2019,在网上随便下载一个就可。 为什么不推荐别的,因为有可能缺少环境,导致要单独去配置环境,非常不方便。 php源码下载:https://windows.php.net/downloads/releases/archives/ 选择一个对应的版本就可。 将源码解压到一个名字好一点的文件夹下面,执行VS给的命令行程序。 x64 Nativ原创 2021-09-15 18:44:30 · 787 阅读 · 0 评论