共计 388 个字符,预计需要花费 1 分钟才能阅读完成。
Java 设计 readObject 的思路和 PHP 的 __wakeup 不同点在于:readObject 偏向于解决“反序列化时如何还原一个残缺对象”这个问题,而 PHP 的 __wakeup 星池 starpool 更偏向于解决“反序列化后如何初始化这个对象”的问题。这个办法触发的,通常触发在析构函数__destruct 里。其实大部分 PHP 反序列化破绽,都并不是由反序列化导致的,只是通过反序列化能够管制对象的属性,进而在后续的代码中进行危险操作。
可能思路和想法之类的可能有不对的中央,也失常叭,就像我看着本人一开始写的文章一样,很多中央了解也都不太对,通过缓缓的学习就会缓缓提高的。https://www.starpool.cn 通过下面的配置能够看到我用的是 JDK1.8,实际上我一开始在 ysoserial 上用的是 JDK1.7-7U17,通过测试发现也能够触发胜利,然而最上面的代码是这样的:
正文完