写在前面
如果反序列化过程中用户对某些参数可控,从而控制内部的变量设置函数,那就可以利用反序列化构造攻击。
1 | |
如果反序列化过程中用户对某些参数可控,从而控制内部的变量设置函数,那就可以利用反序列化构造攻击。
1 | |
平台开发选用了最熟悉的语言 PHP ,最终选择使用 ThinkPHP 进行开发,后端均返回 JSON 数据,前端通过 ajax 进行实时渲染页面,陆陆续续开发了近一周的时间。
由于 MoeCTF 定位是 (小) 团队内部训练平台,所以没有进行任何优化 (其实是不会优化,但是尽量减少冗余代码啦,性能就不提了。