最近在深入研究php的反序列化，觉得Test404这篇可能是同类当中写的最好的，不过不知道这篇出处是不是360的。。在这里转载一下以便新人学习~ 翻译：hac425 一、序列化和反序列化 序列化和反序列...

代码审计顾名思义就是检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞，并提供代码修订措施和建议。 PHP代码审计 审计套路 通读全文法          (麻烦，但是最全面) 敏...

原文链接：传送门 虽然是复现文章，不过会更详细地来阐释这个漏洞，，因为现在后台getshell花样层出不穷，因此想要复现一波来学习一波getshell姿势~ 因为是最新的dedecms版本，因此我们直接在织...

0x01. 背景 好久没写文章了，来写一篇水文。2016年对自己最大的愿望就是养成看书的习惯，改掉以前只买书不看书的“坏习惯”。2016年看的第一本书是Seay法师的代码审计的书。还记得当程序员时的...

前言：很久没有审计php源码了，，这次到源码之家下了一套最新的源码并花了一点时间看了一下可能存在的问题，这一看还真看出问题出来了~ 0x01 cms简介 cms下载地址：http://down.admin5.com/php/...

0x00 cms简介 云EC电商系统是由一套基于PHP+MYSQL开源的、免费的电商系统软件。支付整合了支付宝三端支付（PC、手机、APP），微信三端支付（PC扫码、微信公众号、APP），银联支付。 模块化设计...

前言 首先这个文件上传的漏洞点只能上传压缩包，因此并不能直接getshell。 这里的组合原理是通过sql注入漏洞拿到数据库中存放的压缩包信息，然后利用压缩包信息去构造payload触发解压缩操作，最...

做CTF的crypto，经常会遇到一些加密解密，杰弗逊加密也是考察频率较高的一种加密方式 像今年的ISCC CTF中就有一条转轮加密题目： 加密表： 1: < ZWAXJGDLUBVIQHKYPNTCRMOSFE < 2: ...

做CTF的crypto，经常会遇到一些加密解密，杰弗逊加密也是考察频率较高的一种加密方式 像今年的ISCC CTF中就有一条转轮加密题目： 加密表： 1: < ZWAXJGDLUBVIQHKYPNTCRMOSFE < 2: ...

这篇文章就算是漏洞复现吧。。下面进入正题~ 拿到源码，首先在seay代码审计系统扫扫看看有没有明显的漏洞~ 全篇都是用的类，，，对于这种框架类的我很少接触，，这次就算好好研究吧~ 扫下来没...