java反射 概念 反射就是java中一种可以获取一个对象的类的方法，类可以通过反射拿到所有方法，并且调用。 获取类方法 获取一个类的方法有三种： 对象直接调用getclass() 每个类都有一个静态class属性 Class类自带的静态方法forName(StringclassName) packagejava_learn; importjava.io.Serializable; publicclassStudentimplementsSerializable{ privatestaticfinallongserialVersionUID=-5215701594592700115L; ...

两道题浅析PHP反序列化逃逸 一、介绍 反序列化逃逸的出现是因为php反序列化函数在进行反序列化操作时，并不会审核字符串中的内容，所以我们可以操纵属性值，使得反序列化提前结束。 反序列化逃逸题一般都是存在一个filter函数，这个函数看似过滤了敏感字符串，其实使得代码的安全性有所降低；并且分为filter后字符串加长以及字符串变短两种情况，这两种情况有着不同的处理方式。 例如这段代码：<?php functionfilter($img){ $filter_arr=array('php','flag','php5','php4','fl1g'); $filter='/'.implod...

【HITCON2017】SSRFme 1.看题 代码： <?php if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $http_x_headers=explode(',',$_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR']=$http_x_headers[0]; } echo$_SERVER["REMOTE_ADDR"]; $sandbox="sandbox/".md5("orange".$_SERVER["REMOTE_ADDR"]); sandbox/786c0b7e11c...