phar | CN-SEC 中文网

代码审计

实战某凤网站导致的代码审计

0.前言这篇文章很早就写了，因为涉及0day不想影响太大，于是就想等作者修了再发。现在漏洞已经公开了，作者也修了，就发出来吧。https://xz.aliyun.com/news/182151.前台...

07月02日23 views评论

阅读全文

代码审计

代码审计资金盘软盟微交易系统

免责声明：本公众号所提供的文字和信息仅供学习和研究使用，不得用于任何非法用途。我们强烈谴责任何非法活动，并严格遵守法律法规。读者应该自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公...

06月19日31 views评论

阅读全文

CTF专场

【WP】第二届红明谷杯数据安全大赛题目解析（一）

楔子第二届“红明谷”杯数据安全大赛由数字中国建设峰会组委会主办；福建省数字福建建设领导小组办公室、三明市人民政府承办，永信至诚连续两届为大赛提供技术支持。旨在培养网络安全意识，重点考察数据安全理论及...

06月10日19 views评论

阅读全文

代码审计

【代码审计】Xunruicms前台RCE

Xunruicms前台RCE测试环境：phpstudy 7.3.4 + windows + Xunruicms 4.6.4Xunruicms存在一个前台RCE漏洞，这个漏洞在之前很多版本也存在，最新版...

06月09日44 views评论

阅读全文

安全开发

实战Weevely管理工具免杀马研究即生成另类免杀马

Weevely是一款基于Python语言开发的渗透测试工具，主要用于在目标主机上执行远程操作，类似中国菜刀。本篇文章主要介绍Weevely免杀马原理。一、背景前几天，同事突然给了我一个php木马让我看...

05月28日43 views评论

阅读全文

代码审计

某CRM系统前台RCE漏洞

免责申明本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。一、前言这是之前的一个库存了...

05月08日27 views评论

阅读全文

代码审计

【代码审计】记某次项目前台反序列化RCE漏洞研究

点击上方蓝字关注我们并设为星标0x01 过程一套涉Zha的系统，名字就不给出了，貌似用的人还挺多.该项目框架:ThinkPHP 5.0.24 Debug:True翻遍了所有代码，上传点都限制的比较死...

04月21日19 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/1/29】

2025-01-29 微信公众号精选安全技术文章总览洞见网安 2025-01-29 0x1 【代码审计】RGCMS 2.0 存在 phar 反序列化RCE漏洞星悦安全 2025-01-29 19:09...

02月11日17 views评论

阅读全文

CTF专场

CTF:Phar反序列化漏洞学习笔记

使用phar://伪协议读取文件时，文件会被解析成phar对象，phar对象内的以反序列化形式存储的用户自定义元数据信息会被反序列化。影响函数phar结构phar由四部分组成，分别是1.stub是一个...

01月21日29 views评论

阅读全文

代码审计

PHP反序列化新手入门学习总结

最近写了点反序列化的题，才疏学浅，希望对CTF新手有所帮助，有啥错误还请大师傅们批评指正。php反序列化简单理解首先我们需要理解什么是序列化，什么是反序列化？PHP序列化：serialize()序列化...

01月20日18 views评论

阅读全文

CTF专场

强网杯WriteUp｜强网先锋 & Web

‍‍强网先锋rcefilewww.zip源码泄露。发现黑名单中少了phar后缀，非预期上传phar直接解析为php了。polydiv# # def proof_of_work(sh):# sh...

01月06日14 views评论

阅读全文

安全博客

PHP反序列化进阶学习与总结

目录说在前面pravite和Protected成员的序列化Private类型Protected类型Phar反序列化phar文件的结构：生成一个phar文件：漏洞利用条件phar受影响的文件操作函数：...

12月24日11 views评论

阅读全文

在线咨询

微信