0x00 序列化与反序列化 序列化: serialize()把对象转换为字节序列的过程称为对象的序列化 反序列化: unserialize()把字节序列恢复为对象的过程称为对象的反序列化 0x01 序列化 这里就是转化成7个字节序列 s:strings类型,7:7个字节。 a:数组类型 i:int型 ...
分类:
Web程序 时间:
2020-02-02 19:27:28
阅读次数:
111
说到这个代码执行流程啊,咱也不说太多,先给大家分享一张图片: 怎么样?有点了解了么。说实话,单看这个,我本人是有点懵的,不过,不要怕。咱们来慢慢地看下。 首先,在网上找的信息说PHP代码执行的顺序是这样的,第一步是词法分析,第二步是语法分析,第三步是转化为opcode,第四部也就是顺序执行这些opc ...
分类:
Web程序 时间:
2020-02-01 01:02:26
阅读次数:
130
0x00 目录穿越 目录穿越(Directory Traversal)攻击是黑客能够在Web应用程序所在的根目录以外的文件夹上,任意的存取被限制的文件夹,执行命令或查找数据。目录穿越攻击,也与人称为Path Traversal攻击。 0x01 目录穿越 漏洞危害 攻击者可以使用目录穿越攻击来查找,执 ...
分类:
Web程序 时间:
2020-01-31 12:40:16
阅读次数:
227
[极客大挑战 2019]Secret File 复现 知识点 前端中背景可以覆盖内容,页面源代码可以查看完整的html 在php文件中可以写入html代码,html可在前端展示出来,php代码主要是处理数据,通常不会展示。 文件包含漏洞,PHP伪协议获取文件 php://filter 是一种元封装器 ...
分类:
其他好文 时间:
2020-01-31 12:10:40
阅读次数:
371
0x00 漏洞简介 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击是最为直接和有效的,“文件上传”本身是没有问题,有问题的是文件上传后,服务器怎么处理,解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果,。 0x01漏洞条件 文件可 ...
分类:
Web程序 时间:
2020-01-30 19:15:40
阅读次数:
144
参考《WEB开发入门经典 》一书,进行试验。 1.PHP语法规则 PHP 脚本在服务器上执行,然后将纯 HTML 结果发送回浏览器。 首先,熟悉下PHP的两个基本规则: PHP代码在页面中用开闭标识符表示, <?php 来表示 PHP 标识符的起始,然后放入 PHP 语句并通过加上一个终止标识符 ? ...
分类:
Web程序 时间:
2020-01-30 18:51:13
阅读次数:
90
0x00 XSS漏洞简介 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当 ...
分类:
Web程序 时间:
2020-01-29 12:24:41
阅读次数:
111
对于WEB开发人员来说PHP基本是标配,其他的程序员也可能会编上几句PHP代码。今天给大家总结了33个实用的PHP代码片段,在用到时可以直接进行复制粘贴,非常方便。也可以用来丰富自己的代码库。 <?php /** * 时间:0000-00-00 * 作者:xx * 超级有用、必须收藏的PHP代码样例 ...
分类:
Web程序 时间:
2020-01-29 09:11:18
阅读次数:
98
之前想学习php代码审计,但是没有坚持下去,记得当时看到了很多CMS框架采用MVC架构,就嘎然而止了。 为了深入学习下框架,一边看着thinkphp5.0官方文档,一边写个简单的登陆注册页面以加深理解。 官网提供了好几个文档,发现这个最简单易懂:https://www.kancloud.cn/thi ...
分类:
Web程序 时间:
2020-01-28 22:51:11
阅读次数:
144
0x00 命令执行漏洞原理 应用程序有时需要调用一些执行系统命令的函数,如在PHP中,使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令。当黑客能控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行漏 ...
分类:
Web程序 时间:
2020-01-28 17:46:00
阅读次数:
158
