0x00 背景 來公司差不多一年了，然而我卻依舊沒有轉正。約莫着轉正也要到九月了，去年九月來的，實習，轉正用了一年。2333 廢話不多說了，最近有其他的事要忙，很久沒有代碼審計了。難的挖不了，淺的沒意思。那就隨便選吧。 在A5找了套源碼，找找感覺。花了十來分鍾審了一下，發現了個未授權任意 ...

eyouCMS從后台登錄繞過到getshell 漏洞影響范圍 <=1.5.2 后台登錄判斷 application/admin/controller/Base.php-_initialize() 這里的$web_login_expiretime變量的值為session的有效時間 ...

安全圈有一個非常有趣的現象，那就是朋友圈沒人發 沒一個人發 那這個就沒什么人關注 CVE-2019-3396 這個出來2個禮拜了 有人開始刷Twitter看到分析文章了才到朋友圈 然后朋友圈才有人開 ...

ssti 目錄 ssti ssti成因 ssti利用思路 ssti-payload 1-python flask（jinja2） django ...

中有個師傅說有前台sql注入。 那么我就來找找前台的sql注入吧，雖說是java但其實代碼審計的點都是 ...

1.RCE(remote command/code execute)概述 RCE漏洞，可以讓攻擊者直接向后台服務器遠程注入操作系統命令或者代碼，從而控制后台系統。 遠程系統命令執行 一般出現這種漏洞，是因為應用系統從設計上需要給用戶提供指定的遠程命令操作的接口 比如我們常見的路由器、防火牆、入侵 ...

composer create-project yiisoft/yii2-app-basic app 搜索__destruct和__wakeup grep -A 10 -rn "__destruct ...

前言 PbootCMS是全新內核且永久開源免費的PHP企業網站開發建設管理系統，是一套高效、簡潔、 強悍的可免費商用的PHP CMS源碼，能夠滿足各類企業網站開發建設的需要。 環境: ...