|
|
好像看到了个反序列化漏洞 调用了unserialize函数 如果传入的是构造过的序列化语句 应该可以任意代码执行 这个类里有个构造函数啊 没上下文 不敢确定是不是shell 看代码应该是 如果其他地方引入了这个类 然后传入的url不可控 然后url返回又是构造过的数据 就应该可以触发任意代码执行 这个函数可以做正常操作 也可以非法操作 有个substr 应该不是shell 就8位长度 应该也放不下个shell
所以我的解决方案是 用一台机器反代,然后源站仅允许反代机器访问。。
应该就没大问题了。 |
|
发表于 2018-4-20 11:06:12
关注公众号