分析下面aspx代码实现的功能 Page Language=C#trystring key = 7a7b7e39443ef5fd;byte data = new SystemSecurityCryptographyRijndaelManagedCreateDecryptorSystemTextEncodingDefaultGetByteskey SystemTextEncodingDefaultG
该aspx代码实现了一个简单的反序列化攻击,通过将加密后的序列化数据发送给服务器,服务器会将其解密并反序列化成一个Assembly对象,然后通过反射创建一个指定类的实例,并将数据流写入该实例中,最后将实例中的数据再次序列化并加密后返回给客户端。这个过程中存在反序列化漏洞,攻击者可以通过构造恶意数据来实现任意代码执行。
原文地址: http://www.cveoy.top/t/topic/757 著作权归作者所有。请勿转载和采集!