理解php對象注入

理解php對象注入

PHP 1個月前 (09-09) 中國互聯安全響應中心

0x00 背景 原文:http://securitycafe.ro/2015/01/05/understanding-php-object-injection/ php對象注入是一個非常常見的漏洞,這個類型的漏洞雖然有些難以利用,但仍舊非常危險,為了理解這個漏洞,請讀者具備基礎的php知識。 0x01 漏洞案例 如果你覺得這是個渣渣洞,那么請看一眼這個列表,一些被審計狗挖到過該漏洞的系統,你可以發

源碼級剖析PHP 7.2.x GD拒絕服務漏洞

源碼級剖析PHP 7.2.x GD拒絕服務漏洞

PHP 2年前 (2018-03-12) 中國互聯安全響應中心

觸發條件: php 7.2.x,開啟gd庫。只需要三行代碼即可完成! 我在本地調試php的時候發現某個老代碼能夠直接把php給crash掉,因此成文。 php沒有報錯,直接死掉了,應該是內部邏輯有問題。再傳到服務器上試試: 啊哈,一樣的結果。觸發這個問題的代碼如下: $im=imagecreate(100,100); imageantialias($im,true); imageline($im,

PHP代碼審計片段講解(入門代碼審計、CTF必備)

PHP代碼審計片段講解(入門代碼審計、CTF必備)

PHP 2年前 (2017-11-10) 網友投稿

關于本項目 代碼審計對于很多安全圈的新人來說,一直是一件頭疼的事情,也想跟著大牛們直接操刀審計CMS?卻處處碰壁: 函數看不懂! 漏洞原理不知道! PHP特性更不知! 那還怎么愉快審計? 不如化繁為簡,跟著本項目先搞懂PHP中大多敏感函數與各類特性,再逐漸增加難度,直到可以吊打各類CMS~ 本項目講解基于多道CTF題,玩CTF的WEB狗也不要錯過(^-^)V 題的源碼在Github: bowu (

一款好用的php webshell檢測工具

一款好用的php webshell檢測工具

PHP 3年前 (2017-03-10) 網友投稿

PHP-malware-finder 是一款優秀的檢測webshell和惡意軟件混淆代碼的工具,比如以下組件都可以被檢測發現。 Best PHP Obfuscator Carbylamine Cipher Design Cyklodev Joes Web Tools Obfuscator P.A.S PHP Jiami Php Obfuscator Encode SpinObf Weevely3

WORDPRESS博客程序怎么移除后臺忘記密碼的鏈接呢?

WORDPRESS博客程序怎么移除后臺忘記密碼的鏈接呢?

PHP 3年前 (2016-12-18) 網友投稿

為wordpress博客程序站點網站后臺忘記密碼找回,是可以通過站長后臺設置的郵箱找回的。絕大多數免備案空間都將mail函數禁用了,是因為mail函數一旦運行服務器的負載不是我們所想象的,不被攻擊還好,一旦攻擊可能是說到這整個服務器都癱瘓。所以說當您的網站沒開放注冊的時候,完全可以移除這個忘記密碼鏈接。本節小編將給大家介紹一下。 首先是點擊進入到我們的控制面板,然后找到文件管理選項,如圖1所示:

ECSHOP后臺功能之郵件隊列管理介紹

ECSHOP后臺功能之郵件隊列管理介紹

PHP 3年前 (2016-12-16) 網友投稿

不知道各位站長朋友在使用ecshop發送郵件的時候,有沒有發現這樣的一個問題,就是ecshop發送出去的郵件不是同時群發出去的,而是一個一個排隊發出去的,那么這個時候就牽扯到了一個設置了優先級的郵件列隊問題了,對于這個郵件的列隊問題我們可以進入網站后臺的郵件隊列管理功能去進行管理設置。下面小編就來給大家詳細介紹一下,如何在免備案空間環境下使用ecshop網站后臺的郵件隊列管理功能。 首先我們登入e

WordPress英文版切換為中文版步驟

WordPress英文版切換為中文版步驟

PHP 3年前 (2016-11-18) 網友投稿

WordPress英文版切換為中文版步驟,附4.01簡體中文語言包下載 WordPress后臺英文版切換為中文版步驟,附4.01簡體中文語言包下載 一直都習慣用英文版的WordPress,原因是一直都去英文官網找插件和看文檔,而且官網的英文原版也更新得較快,比如最近官網的英文版已經更新到4.1版了,而中文版目前還停留在4.01。不過有時候也會需要用中文版,比如要開放后臺給不習慣英文界面的人…好在W

php imagecreatefrom. 系列函數之 png

php imagecreatefrom. 系列函數之 png

PHP 3年前 (2016-10-26) 鐵匠

0x00 簡介 這篇文章主要分析 php 使用 GD 庫的 imagecreatefrompng() 函數重建 png 圖片可能導致的本地文件包含漏洞。 當系統存在文件包含的點,能包含圖片文件; 另外系統存在圖片上傳,上傳的圖片使用 imagecreatefrompng() 函數重建圖片并保存在本地,則很可能出現文件包含的漏洞。 通常,系統在實現圖片上傳功能時,為了防范用戶上傳含有惡意 php 代

PHP本地文件包含漏洞環境搭建與利用

PHP本地文件包含漏洞環境搭建與利用

PHP 3年前 (2016-10-26) 鐵匠

0x00 簡介 php本地文件包含漏洞相關知識,烏云上早有相應的文章,lfi with phpinfo最早由國外大牛提出,可參考下面兩篇文章。利用的原理是利用php post上傳文件產生臨時文件,phpinfo()讀臨時文件的路徑和名字,本地包含漏洞生成1句話后門。 此方式在本地測試成功,為了方便大家學習,減小學習成本,已構建docker環境,輕松測試。將構建好的docker放在國外VPS上,使用

PHP后門新玩法:一款猥瑣的PHP后門分析

PHP后門新玩法:一款猥瑣的PHP后門分析

PHP 3年前 (2016-10-26) 鐵匠

0x00 背景 近日,360網站衛士安全團隊近期捕獲一個基于PHP實現的webshell樣本,其巧妙的代碼動態生成方式,猥瑣的自身頁面偽裝手法,讓我們在分析這個樣本的過程中感受到相當多的樂趣。接下來就讓我們一同共賞這個奇葩的Webshell吧。 0x01 細節 Webshell代碼如下: <code>#!php &lt;?php error_reporting(0); sess

30個深度學習庫:按Python和C++等10種語言分類

30個深度學習庫:按Python和C++等10種語言分類

PHP 3年前 (2016-10-17) 鐵匠

本文介紹了包括 Python、Java、Haskell等在內的一系列編程語言的深度學習庫。 一、Python 1、Theano 是一種用于使用數列來定義和評估數學表達的 Python 庫。它可以讓 Python 中深度學習算法的編寫更為簡單。很多其他的庫是以 Theano 為基礎開發的: Keras 是類似 Torch 的一個精簡的,高度模塊化的神經網絡庫。Theano 在底層幫助其優化 CPU

利用 PHP7 的 OPcache 執行 PHP 代碼

利用 PHP7 的 OPcache 執行 PHP 代碼

PHP 3年前 (2016-10-17) 鐵匠

在 PHP 7.0 發布之初,就有不少 PHP 開發人員對其性能提升方面非常關注。在引入 OPcache 后,PHP的性能的確有了很大的提升,之后,很多開發人員都開始采用 OPcache 作為 PHP 應用的加速器。OPcache 帶來良好性能的同時也帶來了新的安全隱患,下面的內容是 GoSecure 博客發表的一篇針對 PHP 7.0 的 OPcache 執行 PHP 代碼的技術博文。 本文會介

切換注冊

登錄

忘記密碼 ?

您也可以使用第三方帳號快捷登錄

切換登錄

注冊

掃一掃二維碼分享
青海11选5开奖结果走势图