Thinkphp5.0.24反序列化 0x01前言 最近在學習代碼審計，因為java還不太擅長就先學習php的代碼審計。thinkphp框架是php比較經典的一個框架了，所以就先選擇了thinkphp進行審計。爭取一到兩周能發一篇審計的博客，督促自己不要偷懶。（這篇就拖了3個月，3個月 ...

序列化：WriteObject 反序列化：readObject() Jd-gui.exe 最簡單的打開java文件方式 Intellij idea 編輯工具 演示案例： WebGoat_Javaweb靶場反序列化測試 2020-網 ...

0x01 環境搭建 環境 php 7.0.9 appache 2.4 thinkphp 5.1.37 源碼 https://github.com/top-think/framework/releases/tag/v5.1.37 https://github.com ...

Java安全之Fastjson反序列化漏洞分析 首發：先知論壇 0x00 前言 在前面的RMI和JNDI注入學習里面為本次的Fastjson打了一個比較好的基礎。利於后面的漏洞分析。 0x01 Fastjson使用 在分析漏洞前，還需要學習一些Fastjson庫的簡單使用 ...

Shiro 550反序列化漏洞分析 一、漏洞簡介 影響版本：Apache Shiro < 1.2.4 特征判斷：返回包中包含rememberMe=deleteMe字段。 Apache Shiro框架提供了記住密碼的功能（RememberMe），用戶登錄成功后會生成經過加密並編碼 ...

環境介紹： typecho我下的是1.0版本的 下載地址：https://github.com/typecho/typecho/releases/tag/v1.0-14.10.10-re ...

Fastjson反序列化漏洞利用分析 ​ 背景 在推動Fastjson組件升級的過程中遇到一些問題，為幫助業務同學理解漏洞危害，下文將從整體上對其漏洞原理及利用方式做歸納總結，主要是一些概述性和原理上的東西。 漏洞原理 多個版本的Fastjson組件在反序列化不可信數據時會導致代碼執行 ...

yii2反序列化漏洞分析 環境搭建 Windows10 phpstudy yii2版本：2.0.37和2.0.38 php版本：7.3.4 環境安裝 使用compser安裝2.0.38版本，github安裝2.0.37版本 漏洞分析 漏洞的出發點是在\yii\vendor ...