PHP序列化/对象注入漏洞分析 本文是关于PHP序列化/对象注入漏洞分析的短篇,里面讲述了如何获取主机的远程shell。 如果你想自行测试这个漏洞,你可以通过 XVWA 和 Kevgir 进行操作。 漏洞利用的第一步,我们开始测试目标应用是否存在PHP序列化。为了辅助测试,我们使用了Burpsuite的SuperSerial插件,下载地址在 这里 。它会被动检测PHP和Java序列化的存在。 分析: 我们检测到了应用里使用了PHP序列化,所以我们可以开始确认应用代码里... 2019年09月28日 我爱编程 暂无评论 喜欢 0 阅读全文