2019年9月3日

摘要： PHP反序列化漏洞复现 测试代码 我们运行以上代码文件，来证明函数被调用： 应为没有创建对象，所以构造函数__construct()不会被调用，但是__wakeup()跟__destruct()函数都被调用，如果这些函数里面包含的是恶意代码会怎么样呢？ 利用场景 __wakeup() 或__dest 阅读全文

摘要： 利用phar实行php反序列化命令执行(测试环境复现) 前言 一般说到反序列化漏洞，第一反应都是unserialize()函数。然而安全研究员Sam Thomas分享了议题”It’s a PHP unserialization vulnerability Jim, but not as we kno 阅读全文