Thinkphp5.0.24反序列化 0x01前言 最近在学习代码审计，因为java还不太擅长就先学习php的代码审计。thinkphp框架是php比较经典的一个框架了，所以就先选择了thinkphp进行审计。争取一到两周能发一篇审计的博客，督促自己不要偷懒。（这篇就拖了3个月，3个月 ...

序列化：WriteObject 反序列化：readObject() Jd-gui.exe 最简单的打开java文件方式 Intellij idea 编辑工具 演示案例： WebGoat_Javaweb靶场反序列化测试 2020-网 ...

0x01 环境搭建 环境 php 7.0.9 appache 2.4 thinkphp 5.1.37 源码 https://github.com/top-think/framework/releases/tag/v5.1.37 https://github.com ...

Java安全之Fastjson反序列化漏洞分析 首发：先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础。利于后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，还需要学习一些Fastjson库的简单使用 ...

Shiro 550反序列化漏洞分析 一、漏洞简介 影响版本：Apache Shiro < 1.2.4 特征判断：返回包中包含rememberMe=deleteMe字段。 Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码 ...

环境介绍： typecho我下的是1.0版本的 下载地址：https://github.com/typecho/typecho/releases/tag/v1.0-14.10.10-re ...

Fastjson反序列化漏洞利用分析 ​ 背景 在推动Fastjson组件升级的过程中遇到一些问题，为帮助业务同学理解漏洞危害，下文将从整体上对其漏洞原理及利用方式做归纳总结，主要是一些概述性和原理上的东西。 漏洞原理 多个版本的Fastjson组件在反序列化不可信数据时会导致代码执行 ...

yii2反序列化漏洞分析 环境搭建 Windows10 phpstudy yii2版本：2.0.37和2.0.38 php版本：7.3.4 环境安装 使用compser安装2.0.38版本，github安装2.0.37版本 漏洞分析 漏洞的出发点是在\yii\vendor ...