好久没更新博客了，现在主要在作源码审计相关工作，在工作中也遇到了各种语言导致的一些SSTI，今天就来大概说一下SSTI模板注入这个老生常谈的漏洞 前言 模板引擎 模板引擎（这里特指用于Web ...

Hvv期间爆出来一个漏洞：Yii框架反序列化RCE利用链。php反序列化已经从最开始的CTF宠儿，到现在框架的pop利用链构造，利用方式也越来越多样化。遂来系统性的学习一下php反序列化，本系列文 ...

SpringBoot框架华夏ERP源码审计 环境搭建 华夏ERP基于SpringBoot框架和SaaS模式，可以算作是国内人气较高的一款ERP项目，看网上已经公开了漏洞，本次对此框架代码进行源码审 ...

上篇《SSTI（模板注入）漏洞（入门篇）》主要介绍了PHP/Python/Java常见的几种模板注入，本篇主要通过cms实例来更好的理解并且挖掘SSTI。 以下cms的源码地址：https:// ...

上篇《php反序列化从入门到放弃(入门篇)》主要总结了PHP的反序列化的一些知识，本篇主要通过cms实例来更好的理解并且挖掘反序列化漏洞。 以下cms的源码地址：https://github.c ...