Laravel 8 反序列化分析

forwardlaravel的版本已经到了8；这里分析一个laravel8的反序列化漏洞，但是让我感到意外的是，这个漏洞竟然在低版本的laravel上依然可以存在，从根本来说这个漏洞是laravel的…

 合天网安实验室 2021-03-18 10:35:19

4,695 0 0

漏洞威胁分析报告（上册）- 不同视角下的漏洞威胁

前言刚刚过去的2020年以极具戏剧性的开场和魔幻现实主义的中章，给传统行业当头一棒，疫情的延伸早已超出了绝大部分人的预料。传统行业被迫转型；企业被迫选择线上办公；学校被迫开设网课。在经济体系运作如此困…

 Further_eye 2021-03-09 14:53:36

5,743 0 0

老赛棍寒假复习计划——反序列化篇（一）

本篇主要讲解过去一年来各大比赛中出现的比较典型的几个反序列化题目本文涉及相关实验：PHP反序列化漏洞实验 （通过本次实验，大家将会明白什么是反序列化漏洞，反序列化漏洞的成因以及如何挖掘和预防…

 合天网安实验室 2021-02-20 15:40:20

5,530 0 0

【组件攻击链】XStream组件高危漏洞分析与利用

组件介绍 XStream是Java类库，用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索，并不需要对对象作出修改。X…

 Further_eye 2020-12-01 10:38:37

4,603 0 0

漏洞情报｜XStream远程代码执行漏洞风险通告（CVE-2020-26217）

近日，腾讯云安全运营中心监测到，XStream官方发布安全公告，披露了一个XStream远程代码执行漏洞（漏洞编号：CVE-2020-26217），漏洞被利用可导致远程代码执行。为避免您的业务受影响，…

 云鼎实验室 2020-11-17 10:54:30

7,091 0 0

极客巅峰2020 部分WriteUp

极客巅峰 Web★babyflask简单的模板注入，登陆时用户名存在注入，并且只在前端过滤字符，POC：找到_frozen_importlib_external.FileLoader类 ：利用该类读f…

 Timeline Sec 2020-10-13 15:43:10

4,262 0 1

CVE-2020-2555：Weblogic Cohence反序列化RCE分析利用

在对Java Web应用程序进行研究时，不安全的反序列化漏洞已经成为了攻击者或研究人员的常见目标了。这些漏洞将导致他人在目标设备上可靠地实现远程代码执行，而且这类漏洞通常很难修复。2020年3月6日W…

 i春秋聚集地 2020-09-03 10:17:01

4,810 0 0

【翻译】看我如何利用PHP的0day黑掉Pornhub并获得2W美刀奖励

漏洞发现在分析了Pornhub使用的平台之后，我们在其网站上检测到了unserialize函数的使用，其中的很多功能点（例如上传图片的地方等等）都受到了影响，例如下面两个URL：http://www.…

 ChaMd5安全团队 2019-11-28 10:05:28

16,461 1 8

PHP序列化和反序列化语法差异问题

介绍官方文档中介绍PHP序列化和反序列化如下：所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值…

 柠檬菠萝 2019-11-20 11:23:57

4,524 1 3

玩转php的编译与执行

0x00 写在开头曾几何时php一不小心闯入了我生活，php语法竟然和C语言那么莫名的相似，这是最初php给我的感受，当接触的php时间越来越多的时候，php也没有那般生涩难懂，但是偶尔一些的新的ph…

 Topsec-SRC 2019-07-02 11:13:00

7,480 1 9