摘要: 之前有篇文章详细介绍了php反序列化的原理,这里就不再多说 做一下这个靶场练练手 0x01 源码审计 目前我的理解是挖掘反序列化就需要知道该接口的类、对象、参数这些的详情, 以及魔术方法的情况。 这里的调用比较简单,看看源码 <?php /** * Created by runner.han * T 阅读全文
posted @ 2021-11-25 16:04 Erichas 阅读(504) 评论(0) 推荐(0) 编辑
摘要: 一个简单的XXE 简单抓包来看一下 这里的xml传入应该就接口了,这里是windows系统搭建的,简单写一下payload <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE foo [ <!ELEMENT foo ANY> <!ENTITY xxe S 阅读全文
posted @ 2021-11-25 13:56 Erichas 阅读(108) 评论(0) 推荐(0) 编辑