一、serialize(unserialize($x))!=$x正常来说一个合法的反序列化字符串,在二次序列化也即反序列化再序列化之后所得到的结果是一致的。比如<?php$raw = 'O:1:...
猿人学-app逆向比赛第四题grpc题解
周五晚8点参加了猿人学的app逆向比赛,和我的队友"duoduo"兄一起把这道题做出来了,于是简单分享一下思路和过程。 目录⊙一 .什么是grpc⊙二.什么是protobuf⊙三.数据包协议分析⊙四....
改变 Python 对象规则的黑魔法 Metaclass
来自公众号:快学Python今天小明哥要分享的主题是:改变类定义的神器-metaclass看到标题,你可能会想改变类的定义有什么用呢?什么时候才需要使用metaclass呢?今天我将带大家设计一个简单...
渗透测试面试题大全【建议收藏】
介绍一下自认为有趣的挖洞经历挖洞也有分很多种类型,一种是以渗透、一种是以找漏洞为主,如果是前者会想各种办法获取权限继而获取想要的的东西完成渗透目标,这类跟HW类似,目标各种漏洞不算,要有Shell,服...
(水)打穿博彩后偶遇高手运维,拼尽全力也无法战胜
目标网站:www.xxbet2024.com(记住首页这个着装酷似中国电信的女客服网图,后面要考)现在拿到的信息只有一个www门户的主站,这种就是平时各位看小电影的时候满屏幕飞的那种网址。前端基本上都...
2个躲过检测的恶意AI模型(附检测工具)
背景 鉴于大型语言模型(LLM)和生成式AI能力的最近爆炸式增长,各个组织都在寻找将AI技术纳入其商业模式并利用其能力的方法。虽然大多数非技术人员提到AI时会想到OpenAI的ChatGPT或最新爆火...
【渗透知识】CC1利用链分析
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。[ 简介 ]—— 其实...
从CTF中学习PHP反序列化的各种利用方式
文章来源|MS08067 Web高级攻防第3期作业 本文作者:绿冰壶(Web高级攻防3期学员) 前言|序列化与反序列化 为了方便数据存储,php通常会将数组等数据转换为序列化形式存储,那么什么是序列化...
Java XStream 反序列化:Gadget 挖掘思路分享
目录一、前 言 二、XStream简介 三、历史漏洞 四、Gadget挖掘思路 五、总 结 一前 言Java语言中最常见的一类漏洞就是反序列化漏洞,在各种数据格式到Java对象的转化过程中,常常...
渗透测试面试涉及问题
SQL 相关SQL 注入能否百分百预编译:理论上预编译可以防止 SQL 注入,但在实际中很难做到百分百。因为可能存在开发人员未正确使用预编译、框架存在漏洞、数据库驱动问题等情况导致预编译失效。SQL ...
Cisco ISE反序列化漏洞
0x00 漏洞编号CVE-2025-201240x01 危险等级高危0x02 漏洞概述ISE是下一代NAC解决方案,用于在零信任架构内管理终端、用户和设备对网络资源的访问。0x03 漏洞详情CVE-2...
XXL-JOB-Admin 前台api未授权 hessian2反序列化
点击下方名片,关注公众号,一起探索网络安全技术 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任...