tp6 反序列化漏洞复现 环境 tp6.0 apache php7.3 漏洞分析 反序列化漏洞需要存在 unserialize() 作为触发条件,修改入口文件 app/controller/Index.php 访问localhost/tp6.0/public/index.php/index/jiang出现phpinfo: 全局搜索 __destruct 可利用的在/vendor/topthink/think-orm/src/Model.php 里 跟进$this->save() 去看一下 set

xxl-job <=2.0.2 反序列化漏洞 搭建 https://github.com/xuxueli/xxl-job/releases/tag/2.0.2 下载源码,导入idea,mysql导入sql文件,修改数据库配置后运行XxlJobAdminApplication 即可成功启动项目. 漏洞分析 \xxl-job-2.0.2\xxl-job-admin\src\main\java\com\xxl\job\admin\controller\JobApiController.java 中ap

前言: 上次做了成信大的安询杯第二届CTF比赛,遇到一个tp6的题,给了源码,目的是让通过pop链审计出反序列化漏洞. 这里总结一下tp6的反序列化漏洞的利用. 0x01环境搭建 现在tp新版本的官网不开源了,但是可以用composer构建环境,系统需先安装composer.然后执行命令: composer create-project topthink/think=6.0.x-dev v6.0 cd v6.0php think run 或者可以去github上下载,但是需要改动很多,也可以去c

Flink1.4.0中,反序列化及序列化时继承的类,有一些被标记为了“@deprecated”,路径上也有变化: 1.AbstractDeserializationSchema 以前路径 org.apache.flink.streaming.util.serialization.AbstractDeserializationSchema 现在路径: org.apache.flink.api.common.serialization.AbstractDeserializationSchema 2.

前言 接上文找第二条POP链. 环境配置 同上文 POP链构造 寻找__destruct方法 仍然是寻找__destruct,这次关注AbstractCache.php(/vendor/league/flysystem-cached-adapter/src/Storage/AbstractCache.php): 在抽象类AbstractCache中: public function __destruct() { if (! $this->autosave) { $this->save(); }

前言 这几天算是进阶到框架类漏洞的学习了,首当其冲想到是thinkphp,先拿thinkphp6.0.x来学习一下,体验一下寻找pop链的快乐. 在此感谢楷师傅的帮忙~ 环境配置 用composer指令安装: composer create-project topthink/think tp 修改入口Index:/app/controller/index.php <?php namespace app\controller; class Index { public function index

Spring Data Redis隶属于Spring Data家族, 提供简单易用的方式来访问Redis缓存. Spring Data Redis在往Redis里面写数据的时候,默认会先对数据进行序列化,然后把序列化之后的字节码写入Redis:然后当Spring Data Redis从Redis里取数据的时候,会取出字节码进行反序列化操作,在反序列化的过程中没有对目标类进行校验和过滤,可导致远程任意代码执行. 攻击路径: 1.首先准备反序列化payload,参考ysoserial系列. 2.把生

在TP6框架中我们可以学到TP整体知识,如下图一所示: 图一:TP6整体知识点 这些内容都会在实战课程中一一涵盖,并且在课程中我们会用到五层架构思想(如图二),和传统的MVC架构有所不一样,这样做可以做到代码高度解耦.多复用的能力. 图二:5层架构 本套课程我们还会渗透电商核心技术点,其中包括如下内容,如图三: 图三:电商核心技术点 课程部分章节,其中第十一章和第十二章为高级部分,这两章内容涵盖的知识点特别的多,这两章内容价值完全超过课程总价,非常超值!!!

1. 创建数据表 一对一反向关联使用率很高 附表关联主表称为反向关联,又称为相对关联(tp官方手册这样叫) -- 分类表 CREATE TABLE `category` ( `id` int(10) unsigned NOT NULL AUTO_INCREMENT COMMENT '主键id', `name` varchar(255) DEFAULT NULL COMMENT '分类名称', `sort` int(11) DEFAULT NULL COMMENT '分类排序', PRIMARY

thinkphp6.0.3单应用模式.layuiadmin1.4.0单页版,不需要tp的视图驱动 1. 复制 src.start 两个文件夹 2. 粘贴到 thinkphp 的 public 目录下 3. 修改宿主页面layuiadmin资源路径.配置实时刷新缓存 4. 访问首页使其重定向到layuiadmin主页 5. 访问域名 自动重定向到 域名/start

直接上exp吧,Windows下. <?php namespace think\process\pipes; class Windows { private $files = []; public function __construct() { $this->files = [new \think\model\Merge]; } } namespace think\model; use think\Model; class Merge extends Model { protected $a

本文测试关联方法都采用预载入查询 $data = Article::with('comments')->select(); halt($data->toArray()); 1. 创建数据表 -- 文章表 CREATE TABLE `article` ( `id` int(10) unsigned NOT NULL AUTO_INCREMENT, `title` varchar(255) DEFAULT NULL, `content` text, PRIMARY KEY (`id`) ) ENG

本文测试关联方法都采用预载入查询 $data = User::with('profile')->select(); halt($data->toArray()); 1. 创建数据表 -- 用户表 DROP TABLE IF EXISTS `user`; CREATE TABLE `user` ( `id` int(11) unsigned NOT NULL AUTO_INCREMENT COMMENT '用户id', `username` varchar(255) NOT NULL COMME

目录 1. 门面类 2. 依赖注入 3. 框架提供的基础控制器的 request 属性 4. request() 助手函数 5. app() 超级助手函数 think\Request.think\facade\Request.app\Request 之间的联系 官方手册原文 当前的请求对象由think\Request类负责,该类不需要单独实例化调用,通常使用依赖注入即可.在其它场合则可以使用think\facade\Request静态类操作.项目里面应该使用app\Request对象,该对象继承

本文默认采用的是多应用模式 PHP技术群: 159789818 ThinkPHP技术群: 828567087 1. 多应用模式中隐藏路由中的应用名的三种方式 域名绑定应用 增加应用入口 入口文件绑定应用 2. 域名绑定应用 修改全局配置文件 config/app.php // 域名绑定(自动多应用模式有效) 'domain_bind' => [ '*' => 'index', 'liang' => 'admin' ], 假设根域名为 tp.cy, 此时访问二级域名 liang.tp.cy

目录 1. 场景一:只有一个密码框,并且是可选项,留空不修改密码,不留空则修改密码 2. 场景二:两个密码框,修改密码时有新密码.确认密码,新密码框不为空时,确认密码才验证 1. 场景一:只有一个密码框,并且是可选项,留空不修改密码,不留空则修改密码 编辑用户表单 <form action="" method="post"> 用户名 <input type="text" name="username" val

1.安装composer中国镜像composer config -g repo.packagist composer https://packagist.phpcomposer.com2.执行composer install再次刷新即可,由于没有安装依赖造成.

安洵杯iamthinking tp6pop链 考点: 1.tp6.0反序列化链 2.parse_url()绕过 利用链: 前半部分利用链(tp6.0) think\Model --> __destruct() think\Model --> save() think\Model --> updateData() think\Model --> checkAllowFields() 后半部分利用链(同tp 5.2后半部分利用链) think\model\concern\Convers

准备好饮料,我们一起来玩玩JSON,什么是Json:一种数据表示形式,JSON:JavaScript Object Notation对象表示法 Json语法规则: 数据在键值对中 数据由逗号分隔 花括号保存对象 方括号保存数组 一.JSON的表现形式 在javascript中对象的表现形式如下 1.对象表现形式: <script type="text/javascript"> var jsonObject={code:0,resultmsg:'成功'}; alert(jso

package com.cn; import java.io.ByteArrayInputStream; import java.io.ByteArrayOutputStream; import java.io.IOException; import java.util.Arrays; public class Test1 { public static void main(String[] args) throws IOException { int id = 101; //把id转换为字节数