魔术方法 | CN-SEC 中文网

安全文章

原创 | 一文读懂PHP反序列化漏洞

PHP 反序列化漏洞概述在PHP中，序列化是把对象转化为可以存储或传输的字符串的过程，而反序列化则是将这个字符串再转换回对象的过程。PHP反序列化漏洞指的是攻击者能够操控反序列化过程，从而执行任意代码...

04月07日3 views评论

阅读全文

安全文章

PHP反序列号漏洞原理及复现

一、反序列化漏洞原理什么是序列化与反序列化？序列化：把对象的状态信息转换为可以存储或传输的形式的过程，一般是将对象转换为字节流。在进行序列化时，对象的状态信息会被写入到临时或持久性存储区。（通俗点的说...

03月13日19 views评论

阅读全文

安全百科

反序列化漏洞

01定义想象一下，你有一个复杂的玩具（对象），为了方便存放，你把它拆成零件（序列化）。当你需要玩的时候，再把零件拼回去（反序列化）。序列化：将对象（如Java对象、PHP数组）转换为字符串或二进制数据...

02月18日22 views评论

阅读全文

代码审计

【代码审计】php反序列化挖掘思路

0x01 前言以前因为项目需要,挖到的时候也懒的发,现在回头一看,好像自己的安全拼图少了一块,所以就补上吧 :)0x02 旅途过程0x02.1 寻找起点就像出去旅游看风景一样,挑选一个合适的城市,会让...

02月18日18 views评论

阅读全文

安全文章

记一个线下活动的反序列化

引言：这是2024补天白帽黑客年度庆典中的一个活动，其中有一道反序列化的题，但是因为忙着赶车，就截图了代码自己复现，这里面出现了7个魔术方法，相等于是常见的魔术方法都在这里了，下面就是复现环节。代码分...

01月03日14 views评论

阅读全文

Typecho 反序列化漏洞分析

目录漏洞分析：思路PHP反序列化漏洞可利用的魔术方法满足的条件为：分析过程：附上网络上的EXP：EXP分析利用过程：参考其他call_user_func （把第一个参数作为回调函数调用）array_...

12月24日安全博客17 views评论

阅读全文

安全文章

某系统因属性污染导致的RCE漏洞分析

前几天在逛huntr的时候，发现一个很有意思的漏洞，他是通过反序列化从而去污染类和属性导致的rce，在作者的描述中大致说明的漏洞的原理，该漏洞是通过绕过`Deepdiff `的反序列化限制，包括绕过魔...

11月17日10 views评论

阅读全文

CTF专场

ctf之php反序列化

今年打了2场ctf赛，不得不说，PHP反序列化是真香。五六年前就是考点，现在这么多年过去了还是逢赛必出的题目，下面我就总结一下这个知识点吧。一、基础知识‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍php反序列化漏洞...

10月07日18 views评论

阅读全文

代码审计

『代码审计』从零开始的Laravel框架学习之旅(3)

点击蓝字关注我们日期：2024年07月24日作者：Obsidian介绍：Laravel框架相关漏洞的新手学习记录。0x01 前情回顾书接上回和上上回。在前文(1)中，以PendingBroadcast...

07月31日29 views评论

阅读全文

代码审计

揭秘PHP反序列化漏洞-入门：黑客是如何入侵你的网站的？

揭秘PHP反序列化漏洞--入门：黑客是如何入侵你的网站的？什么是反序列化？-格式转换（无非就是将数组或者字符串格式转换成对象）序列化serialize()class S{ &nbs...

06月20日33 views评论

阅读全文

安全工具

Yakit 热加载初探

扫码领资料获网安教程文章来源: https://forum.butian.net/share/2934用yakit的热加载魔术方法实现webfuzzer功能中的验证码识别。0x00 前言最近将工作流切...

05月17日52 views评论

阅读全文

代码审计

Python反序列化漏洞(入门)

python反序列化漏洞前置知识漏洞原理代码中进行了反序列化操作，反序列化魔术方法可以被触发，且反序列化的参数可控函数使用：pickle.dump(obj, file) : 将对象序列化后保存到文件p...

03月24日23 views评论

阅读全文

原创 | 一文读懂PHP反序列化漏洞

PHP反序列号漏洞原理及复现

反序列化漏洞

【代码审计】php反序列化挖掘思路

记一个线下活动的反序列化

Typecho 反序列化漏洞分析

某系统因属性污染导致的RCE漏洞分析

ctf之php反序列化

『代码审计』从零开始的Laravel框架学习之旅(3)

揭秘PHP反序列化漏洞-入门：黑客是如何入侵你的网站的？

Yakit 热加载初探

Python反序列化漏洞(入门)

在线咨询

微信