m0_73378371 2022-11-13 19:23 采纳率: 100%
浏览 9
已结题

反序列化的入门题 ….

img


反序列化怎么输入啊
ctf web..
get输入吗 ..输入什么啊..

  • 写回答

1条回答 默认 最新

  • 南极潇湘 2022-11-16 15:16
    关注

    截图中代码不全,下次记得不要贴图,要用代码块贴代码。否则大家一看这么麻烦都就不管了。
    get接收的参数,不经过滤就扔给反序列化方法去执行,如果产出的对象被特定方法使用了,就会产生安全漏洞。黑客完全可以通过get传参的方式组建自己想要的序列化字符串内容传递给服务器程序,实现执行黑客希望的脚本。
    具体参考:https://www.jb51.net/article/188446.htm

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • rabbitmq序列化和反序列化 maven rabbitmq spring boot
    2022-01-11 17:33
    回答 1 已采纳 不是,是受你实体的序列化号影响的,建议提取一个顶级类使用相同的序列化号,或者存的时候用json字符串,就没有序列化的问了采纳一下
  • PHP反序列化变量 php
    2018-11-08 15:57
    回答 2 已采纳 Is any simple way to unserialize that type of data and put everyone into Array() without usin
  • Newtonsoft.Json序列化怎么忽略只读 c# json
    2022-08-10 13:52
    回答 1 已采纳 这个功能,目前在net自己的System.Text.Json是已经默认支持的,jsonoption里就有控制 如果是Newton的库,我们需要自己实现他 我写了一个demo sonSerializer
  • php反序列化入门
    2024-06-01 15:16
    顺753的博客 序列化是将对象或数组转化为方便存储、传输的字符串,php使用serialize()函数将对象序列化;序列化只作用于对象的成员属性,不序列化成员方法。
  • Redis跨服务之间的序列化有反序列化报错redis.serializer.SerializationException: Could not read JSON: Could not java redis 微服务
    2022-08-21 11:24
    回答 3 已采纳 看下 报错的这个微服务 的 lib 目录下,是否有包含 loginUser实体类 的 所属模块的 jar文件?提示是找不到,说明没有扫描到该package路径 或 没有添加依赖……
  • PHP反序列化数据 php
    2018-07-09 04:48
    回答 1 已采纳 I got the solution: print_r(unserialize($_item->getAdditionalData())); Result: Array (
  • 如何在Javascript中反序列化数组 javascript php
    2018-05-23 05:24
    回答 2 已采纳 For javascript you probably don't want to use serialize and unserialize, but instead turn the resu
  • PHP反序列化入门
    2021-10-20 20:28
    ailx10的博客 每一天都会接受新的信息,每一天都会有新的成长,昨天接到一个付费咨询,一直到晚上睡前才记起来,客户是一个大一学生,参加了大学的网络安全社团,然后遇到了一道目,想求助我帮忙解决~这考察的是PHP反序列化,...
  • PHP在数组中反序列化 php
    2016-10-31 21:19
    回答 1 已采纳 This is the way. You just have to reassign the result of unserialize to the same array item. <
  • 无法反序列化序列化字符串 php
    2018-05-12 06:57
    回答 2 已采纳 This is because wrong serialize data is getting created from it.Even if we try to create JSON data
  • js json字符串反序列化 vue.js
    2021-10-12 11:21
    回答 2 已采纳 JS 是无法序列化方法的,你这种场景只能把纯数据提取出来,然后再用到的地方取出来后重新构建对象 class Student { studentNo; studentName;
  • PHP反序列化入门教程(一)
    2024-08-19 17:43
    小小乐安全的博客 知识点:1、PHP-反序列化-应用&识别&函数2、PHP-反序列化-魔术方法&触发规则3、PHP-反序列化-联合漏洞&POP链构造在实战情况下,是不需要知道这些具体分析的,都是利用工具去扫一些框架爆出的反序列话漏洞直接利用...
  • PHP序列化、反序列化
    2024-06-05 22:03
    LLINELL的博客 2.对象被序列化时触发了__sleep(),字符串被反序列化时触发了__wakeup()//大写字母O表示对象,4是类名长度,test为类名,表示该类有3个成员属性。类型:长度:“值”…admin=admin,passwd=ctf时得到flag,序列化p。...
  • ctf_show笔记篇(web入门---反序列化
    2024-03-19 11:26
    怪兽不会rap_哥哥我会crash的博客 例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是...这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
  • php反序列化
    2024-03-23 22:35
    doubirui的博客 最终导致触发代码 3、魔术方法相关机制 1、触发机制(动作不同,触发的魔术方法也不同) 2、功能 3、参数(一些特殊魔术方法会传参) 4、返回值 ctfshow-web入门-反序列化 web-254 代码 isVip; } public function ...
  • 没有解决我的问题, 去提问

问题事件

  • 系统已结题 12月21日
  • 已采纳回答 12月13日
  • 请提交代码 11月16日
  • 创建了问题 11月13日