解题思路 打开直接源码,没别的,审就完事了 代码审计 反序列化思路 1. 首先观察new了A类,然后将其序列化,经过两个函数处理后再反序列化。 2. C类中有tostring魔法方法,利用其中的file_get_contents函数读取flag.php文件 3. 触发tostring魔法方法需要字符 ...
分类:
其他好文 时间:
2020-04-26 11:10:09
阅读次数:
225
由于十来天前海投简历(实习全职都有),这一周面试笔试约了好多次,笔试有印象的有:绿盟、深信服、360、奇安信、天融信、邮储银行,笔试结果都不是很好,尤其是前四家,考察算法为主(也有一个问题是我投的不是纯粹的安服岗位,偏安全开发),而我只是算法新手,好不容易做出来的题却超时,算法真的需要加强。 面试有 ...
分类:
其他好文 时间:
2020-04-25 09:11:16
阅读次数:
86
写在前边 做了不少PHP反序列化的题了,是时候把坑给填上了。参考了一些大佬们的博客,自己再做一下总结 1.面向对象2.PHP序列化和反序列化3.PHP反序列化漏洞实例 1.面向对象 在了解序列化和反序列化之前,先简单了解一下PHP的面向对象。 万物皆可对象。根据官方手册,PHP中,以关键字class ...
分类:
Web程序 时间:
2020-04-25 00:57:50
阅读次数:
77
ObjectInputStream反序列化先前使用ObjectOutputStream编写的原始数据和对象。 构造方法:ObjectInputStream(InputStream in)创建从指定的InputStream读取的ObjectInputStream。 readObject()从Objec ...
分类:
其他好文 时间:
2020-04-24 17:27:50
阅读次数:
212
/** * * 【问题】 * 二叉树的反序列化 * 通过文件内容重建原来的二叉树 * 【解析】 * 把结果字符串str变成字符串类型的数组,记为values, 数组代表一棵二叉树先序遍历 * 的节点顺序。例如, str= "l2!3!#!#!#!中,生成的values为["12","3","#"," ...
分类:
其他好文 时间:
2020-04-24 13:12:51
阅读次数:
73
[TOC] BUUCTF[NPUCTF2020] web 部分WP 上周做了做NPUCTF的题,今天在buuoj上面复现了一波,顺便写写write up ReadlezPHP 这是一道简单的反序列化的题 进入页面没什么发现,只有一个跳转到西工大官网的链接,然后查看源码,发现一个隐藏的a标签 然后进入 ...
分类:
Web程序 时间:
2020-04-23 21:15:42
阅读次数:
575
序列化和反序列化代码如下 /// <summary> /// 将一个object对象序列化,返回一个byte[] /// </summary> public static byte[] ObjectToBytes(object obj) { using (MemoryStream ms = new ...
今天在公司分析cve-2020-2551漏洞的时候,发现了一个新的类,叫hashtable。 看了下,实现了Serializable的接口,说明这个类是可以序列化的。符合pop链的条件之一。 接下来看下hashtable的readobject方法: 1 private void readObject ...
分类:
Web程序 时间:
2020-04-21 23:40:21
阅读次数:
141
一、序列化和反序列化的概念 1.把对象转换为字节序列的过程称为对象的序列化。 2.把字节序列恢复为对象的过程称为对象的反序列化。 二、用途 1.对象持久化:把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中 2.网络传输对象:在网络上传送对象的字节序列。可以通过序列化把主机A进程上的对象序列化 ...
分类:
编程语言 时间:
2020-04-20 16:28:08
阅读次数:
83
一、Jute序列化工具 1、Jute概述 Zookeeper的客户端与服务端之间会进行一系列的网络通信来实现数据传输,Zookeeper使用Jute组件来完成数据的序列化和反序列化操作,其用于Zookeeper进行网络数据传输和本地磁盘数据存储的序列化和反序列化工作。 实体类要使用Jute进行序列化 ...
分类:
其他好文 时间:
2020-04-20 13:29:03
阅读次数:
61
