2020网鼎杯(青龙组)--WEB--AreUSerialz(反序列化)
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现经过get传入参数str,而后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,可是由于php7.1+对类属性的检测不严格,因此能够直接用public来进行序列化。php <?
相关文章
- 1. 2020网鼎杯_青龙组
- 2. [网鼎杯 2020 青龙组]AreUSerialz
- 3. 网鼎杯2020青龙组-web
- 4. [网鼎杯 2020 青龙组]notes wp
- 5. [网鼎杯2020] [青龙组] [Crypto] boom
- 6. 网鼎杯青龙组逆向writeup
- 7. 2020第二届网鼎杯青龙组Reverse signal
- 8. [CTF]网鼎杯2020-青龙组-Web-FileJava-WriteUp
- 9. [re]符号执行一把梭:2020网鼎杯青龙组re_signal_wp
- 10. 2020网鼎杯青龙组部分题目writeup
- 更多相关文章...
- • PHP 数组排序 - PHP教程
- • C# 排序列表(SortedList) - C#教程
- • 互联网组织的未来:剖析GitHub员工的任性之源
- • Flink 数据传输及反压详解
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
