- 博客(7)
- 收藏
- 关注
原创 什么是php反序列化漏洞
序列化是一个将数据结构或对象状态转换为可以存储或传输的格式的过程,而反序列化则是将已序列化的数据还原回原始数据结构或对象状态的过程。在生产环境中,为了避免在数据传输过程中的数据丢失或者数据乱码,我们需要对数据进行序列化后发送到服务器,服务器端进行反序列化,漏洞点就出现在一些特殊的魔法方法上面,我们可以使用这些魔法方法包含参数,然后进行传参,最后导致服务器会执行输入的指令。攻击者可以利用这些漏洞,通过构造恶意的序列化数据,使PHP在反序列化时执行任意代码,从而获得系统权限并执行其他恶意操作。
2023-11-21 22:09:28
59
原创 简单实现php反序列化漏洞
简单编写 这里我直接在序列化的同时进行反序列,通过进程唤醒函数实现调用系统中的计算器。执行之后,phpstudy所在主机打开计算器。传入参数cmd=killer。打开phpstudy根目录。
2023-11-21 21:55:53
46
原创 使用Fuzz模糊测试Pikachu靶场文件上传黑名单
抓包发送到intruder模块因为需要爆破出哪些是黑名单,所以将文件后缀标记加载字典开始爆破测试出报文长度为33984为可上传文件。
2023-11-20 20:53:24
230
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人