记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

实战工具:PHPGGC详解

前言在之前我们分析了php下序列化攻击的一些知识点:由浅入深剖析序列化攻击(一)由浅入深剖析序列化攻击(二)由浅入深剖析序列化攻击(三)今天我们来分析一下php序列化的武器库:PHPGGC。PHPGGC 是一款能够自动生成主流框架的序列化测试payload的工具,类似 Java 中的 ysoserial,支持大量主流框架的序列化exp一键生成。但因为工具作者的时间有限,不能做到实时更新。而本文旨在分析phpggc原理,并为其添加拓展,以便我们加入最新的,自己需要的exp生成模块。phpggc流程分析当我们运行:phpggc Laravel/RCE1 system id我们跟踪一下具体流程。
发布时间:2019-08-08 12:25 | 阅读:31039 | 评论:0 | 标签:Web安全 Tool unserialize web

nodejs反序列化漏洞利用getshell

node.js是一个服务器端的运行环境,封装了Google V8引擎,V8引擎执行JavaScript速度非常快,性能非常好。Node.js进行了一些优化并提供替代API,这使得Google V8引擎能够在非浏览器环境下更有效的运行。但是node.js的序列化过程中依然存在远程代码执行漏洞。更直白的说,其实是node.js的node-serialize库存在漏洞。通过传输JavaScript IIFE(立即执行函数表达式),攻击者可以利用恶意代码(不受信任的数据),在反序列化过程中远程执行任意代码。漏洞演示环境靶机:hackthebox节点服务器攻击机:Kali Linux安装工具:nodejs,npm,nodejs
发布时间:2018-08-13 12:20 | 阅读:82273 | 评论:0 | 标签:Web安全 getshell NodeJs unserialize 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词