某系统因属性污染导致的RCE漏洞分析

前几天在逛huntr的时候,发现一个很有意思的漏洞,他是通过反序列化从而去污染类和属性导致的rce,在作者的描述中大致说明的漏洞的原理,该漏洞是通过绕过`Deepdiff `的反序列化限制,包括绕过魔术方法和白名单绕过,通过魔术方法可以访问其他模块、类和实例,并使用这种任意属性写入,最终导致rce。
  • 发表于 2024-11-14 10:00:01
  • 阅读 ( 3906 )
  • 分类:漏洞分析

1 条评论

c铃儿响叮当
感谢分享
请先 登录 后评论
请先 登录 后评论
中铁13层打工人
中铁13层打工人

73 篇文章