摘要：前言 来自Secarma的安全研究员Sam Thomas发现了一种新的漏洞利用方式，可以在不使用php函数unserialize()的前提下，引起严重的php对象注入漏洞。这个新的攻击方式被他公开在了美国的BlackHat会议演讲上，演讲主题为：”不为人所知的php反序列化漏洞”。它可以使攻击者将相 阅读全文

摘要：ThinkCMF框架任意内容包含漏洞分析复现 0x00 简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架，底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制，框架自身提供基础的管理功能，而开发者可以根据自身的需求以应用的形式进行扩展。每个应用都能独立的 阅读全文

摘要：0x01 环境安装 1. 熊海cms1.0 （http://js.down.chinaz.com/201503/xhcms_v1.0.rar） 2.seay代码审计工具 3. phpstudy （php版本不能太高） 0x02 审计之旅 直接拉到工具中，可以看到可能存在大概34个漏洞，我们一一来看吧 阅读全文