摘要:
之前有篇文章详细介绍了php反序列化的原理,这里就不再多说 做一下这个靶场练练手 0x01 源码审计 目前我的理解是挖掘反序列化就需要知道该接口的类、对象、参数这些的详情, 以及魔术方法的情况。 这里的调用比较简单,看看源码 <?php /** * Created by runner.han * T 阅读全文
摘要:
一个简单的XXE 简单抓包来看一下 这里的xml传入应该就接口了,这里是windows系统搭建的,简单写一下payload <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE foo [ <!ELEMENT foo ANY> <!ENTITY xxe S 阅读全文