LDNS利用链的安全升级方法

Java设计 readObject 的思路和PHP的 __wakeup 不同点在于: readObject 倾向于解决“反序列化时如何还原一个完整对象”这个问题,而PHP的 __wakeup 星池starpool 更倾向于解决“反序列化后如何初始化这个对象”的问题。这个方法触发的,通常触发在析构函数__destruct 里。其实大部分PHP反序列化漏洞,都并不是由反序列化导致的,只是通过反序列化可以控制对象的属性,进而在后续的代码中进行危险操作。

可能思路和想法之类的可能有不对的地方,也正常叭,就像我看着自己一开始写的文章一样,很多地方理解也都不太对,经过慢慢的学习就会慢慢进步的。https://www.starpool.cn 通过上面的配置可以看到我用的是JDK1.8,实际上我一开始在ysoserial上用的是JDK1.7-7U17,通过测试发现也可以触发成功,但是最下面的代码是这样的:

你可能感兴趣的