Přihlášení | Registrace

napište » Zprávičky

dnes 05:11 | Komunita

Během tradiční ceremonie k oslavě Dne vzniku samostatného československého státu (28. října) byl vyznamenán medailí Za zásluhy (o stát v oblasti hospodářské) vývojář 3D tiskáren Josef Průša. Letos byly uděleny pouze dvě medaile Za zásluhy o stát v oblasti hospodářské, druhou dostal informatik a manažer Ondřej Felix, který se zabývá digitalizací státní správy.

Gréta | Komentářů: 1

Tor Browser 15.0

dnes 04:44 | Nová verze

Tor Browser, tj. fork webového prohlížeče Mozilla Firefox s integrovaným klientem sítě Tor přednastavený tak, aby přes tuto síť bezpečně komunikoval, byl vydán ve verzi 15.0. Postaven je na Firefoxu ESR 140.

Ladislav Hagara | Komentářů: 0

Fedora Linux 43

včera 16:44 | Nová verze

Bylo oznámeno (cs) vydání Fedora Linuxu 43. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách Fedora Magazinu: Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Silverblue a Fedora Atomic Desktops.

Ladislav Hagara | Komentářů: 0

Grokipedia

včera 15:22 | IT novinky

Elon Musk oznámil (𝕏) spuštění internetové encyklopedie Grokipedia (Wikipedia). Zatím ve verzi 0.1. Verze 1.0 prý bude 10x lepší, ale i ve verzi 0.1 je podle Elona Muska již lepší než Wikipedia.

Ladislav Hagara | Komentářů: 10

PSF (Python Software Foundation) odmítla grant ve výši 1,5 milionu dolarů

včera 05:44 | Komunita

PSF (Python Software Foundation) po mnoha měsících práce získala grant ve výši 1,5 milionu dolarů od americké vládní NSF (National Science Foundation) v rámci programu "Bezpečnost, ochrana a soukromí open source ekosystémů" na zvýšení bezpečnosti Pythonu a PyPI. PSF ale nesouhlasí s předloženou podmínkou grantu, že během trvání finanční podpory nebude žádným způsobem podporovat diverzitu, rovnost a inkluzi (DEI). PSF má diverzitu přímo ve svém poslání (Mission) a proto grant odmítla.

Ladislav Hagara | Komentářů: 22

Rust Coreutils / uutils coreutils 0.3.0

včera 04:55 | Nová verze

Balík nástrojů Rust Coreutils / uutils coreutils, tj. nástrojů z GNU Coreutils napsaných v programovacím jazyce Rust, byl vydán ve verzi 0.3.0. Z 634 testů kompatibility Rust Coreutils s GNU Coreutils bylo úspěšných 532, tj. 83,91 %. V Ubuntu 25.10 se již používá Rust Coreutils místo GNU Coreutils, což může přinášet problémy, viz například nefunkční automatická aktualizace.

Ladislav Hagara | Komentářů: 0

Nová rozšíření Firefoxu budou muset specifikovat, zda shromažďují nebo sdílejí osobní údaje

27.10. 21:00 | IT novinky

Od 3. listopadu 2025 budou muset nová rozšíření Firefoxu specifikovat, zda shromažďují nebo sdílejí osobní údaje. Po všech rozšířeních to bude vyžadováno někdy v první polovině roku 2026. Tyto informace se zobrazí uživateli, když začne instalovat rozšíření, spolu s veškerými oprávněními, která rozšíření požaduje.

Ladislav Hagara | Komentářů: 0

Recall for Linux

27.10. 17:11 | Humor

Jste nuceni pracovat s Linuxem? Chybí vám pohodlí, které vám poskytoval Microsoft, když vás špehoval a sledoval všechno, co děláte? Nebojte se. Recall for Linux vám vrátí všechny skvělé funkce Windows Recall, které vám chyběly.

Ladislav Hagara | Komentářů: 1

Debian Lomiri Tablet

27.10. 16:11 | Komunita

Společnost Fre(i)e Software oznámila, že má budget na práci na Debianu pro tablety s cílem jeho vyžívání pro vzdělávací účely. Jako uživatelské prostředí bude použito Lomiri.

Ladislav Hagara | Komentářů: 1

Pwn2Own Ireland 2025

26.10. 17:11 | IT novinky

Proběhla hackerská soutěž Pwn2Own Ireland 2025. Celkově bylo vyplaceno 1 024 750 dolarů za 73 unikátních zranitelností nultého dne (0-day). Vítězný Summoning Team si odnesl 187 500 dolarů. Shrnutí po jednotlivých dnech na blogu Zero Day Initiative (1. den, 2. den a 3. den) a na YouTube.

Ladislav Hagara | Komentářů: 5

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (36%)

Gitlab (47%)

Atlassian (20%)

Bitbucket (19%)

Gitea (23%)

Mercurial (17%)

jen git (21%)

jen svn (17%)

Jiné (uvedu v diskusi) (18%)

Celkem 279 hlasů

Komentářů: 14, poslední 14.10. 09:04

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Programovací poradna / PHP: hledám obecně známý objekt, který má metodu toString()

Štítky: exploit, PHP, programování

Dotaz: PHP: hledám obecně známý objekt, který má metodu toString()

24.12.2016 18:01 skirptkido
PHP: hledám obecně známý objekt, který má metodu toString()

Přečteno: 398×

Odpovědět | Admin

Dobrý den,

Mám takový netradiční dotaz pro zkušené PHPčkaře. Hledám nějaký relativně obecně známý / používaný / populární objekt v PHP, který obsahuje metodu toString() - pozor nikoliv __toString(). Neznáte nějaký takový objekt? Může to být součást nějakého oblíbeného frameworku nebo nějaké knihovny, který se v PHP světě používá..

Abych uvedl důvod proč to hledám - řeším jednu takovou exploit challenge, kde ten kód vypadá takto:

$rce = unserialize($_REQUEST['blah']);
echo $rce->toString();

Akorát, že já nevím jméno toho objektu, kterému mám tou deserializací změnit nějaké ty properties.. Nenapadá vás něco co by to mohlo být?

Díky!

Nástroje: Začni sledovat (0) ?

Odpovědi

25.12.2016 23:20 Odin1918 | skóre: 6 | blog: Valhalla
Rozbalit Rozbalit vše Re: PHP: hledám obecně známý objekt, který má metodu toString()

github, git clone a rekurzivni grep jsou tvoji pratele

26.12.2016 18:08 Sten
Rozbalit Rozbalit vše Re: PHP: hledám obecně známý objekt, který má metodu toString()

Předefinuj property toString, to volání spadne a vypíše, jak se ta třída jmenuje ;-)

27.12.2016 01:01 skirptkido
Rozbalit Rozbalit vše Re: PHP: hledám obecně známý objekt, který má metodu toString()

To je zajímavý nápad, ale nejsem si jistý jak to provést / jestli je to možné řešení.

Předpokládejme následující kód na serveru:

class nevim {
  public $filename = 'xyz';

  public function toString() {
    echo file_get_contents($this->filename);
  }
}

$rce = unserialize($_GET['blah']);
echo $rce->toString();

Kdybych věděl jméno té třídy, tak můžu poslat request třeba:

http://url/skript.php?blah=O:5:"nevim":1:{s:8:"filename";s:11:"/etc/passwd";}

A vypsat si tím soubor /etc/passwd, ale když neznám jméno té třídy, tak se mi zdá, že jsem bez šance cokoliv zkoušet, nebo ne?

I přesto to ale zkouším všeljak, nicméně ikdyž zkusím změnit property toString, tak mi to nepomůže - nevypíše to nic extra, dokonce to funguje jakoby se nechumelilo:

http://url/skript.php?blah=O:5:"nevim":2:{s:8:"filename";s:11:"/etc/passwd";s:8:"toString";s:6:"blabla";}

Funguje no problem na mým testovacím serveru.

Tak nevím..

27.12.2016 02:35 Sten
Rozbalit Rozbalit vše Re: PHP: hledám obecně známý objekt, který má metodu toString()

Hmm, tak PHP má tak zprasený návrh tříd, že to nejde. $t->toString vytáhne tu hodnotu, ale $t->toString() zavolá takto pojmenovanou metodu z prototypu třídy (i když existuje takto pojmenovaná hodnota), zatímco pokud taková metoda není definována, pokusí se zavolat $t->toString->__invoke(), tj. metodu třídy té hodnoty.

27.12.2016 03:14 Kit | skóre: 46 | Brno
Rozbalit Rozbalit vše Re: PHP: hledám obecně známý objekt, který má metodu toString()

Na tom nevidím nic zpraseného. Na podobné problémy jsem nikdy nenarazil. Když budeš dodržovat konvence pro názvy objektů a metod, tak se ti to stát ani nemůže.

Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje