全球主机交流论坛

标题: 请教了下砖业人士PTCMS那个东西- - [打印本页]

作者: Globalization 时间: 2018-4-20 11:06
标题: 请教了下砖业人士PTCMS那个东西- -
好像看到了个反序列化漏洞调用了unserialize函数如果传入的是构造过的序列化语句应该可以任意代码执行这个类里有个构造函数啊没上下文不敢确定是不是shell 看代码应该是如果其他地方引入了这个类然后传入的url不可控然后url返回又是构造过的数据就应该可以触发任意代码执行这个函数可以做正常操作也可以非法操作有个substr 应该不是shell 就8位长度应该也放不下个shell

所以我的解决方案是用一台机器反代，然后源站仅允许反代机器访问。。

应该就没大问题了。

作者: Gh0st 时间: 2018-4-20 11:23
好，学习了。
不过我想看G奶

作者: ecosway598 时间: 2018-4-20 11:56
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临全球主机交流论坛 (https://loc.1226.eu.org/)