buu刷题记录(三)
[TOC]
[强网杯 2019]Upload
代码审计,反序列化
代码审计真的头疼,太难了。
进入页面有个登陆框,注册登陆,有个上传页面,试了上传webshell无果,看cookie是一段编码,解码之后是序列化后的字符串,肯定就是反序列化了,扫后台发现www.tar.gz,下载下来,审计源码。
[TOC]
代码审计,反序列化
代码审计真的头疼,太难了。
进入页面有个登陆框,注册登陆,有个上传页面,试了上传webshell无果,看cookie是一段编码,解码之后是序列化后的字符串,肯定就是反序列化了,扫后台发现www.tar.gz,下载下来,审计源码。