m0_64481831的博客

Thinkphp是一个快速、兼容而且简单的轻量级PHP开发框架。ThinkPHP可以支持windows/Unix/Linux等服务器环境，正式版需要PHP 5.0以上版本，支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展，是一款跨平台，跨版本以及简单易用的PHP框架。Thinkphp发展至今，主要有2.x、3.x、5.x、6.x系列，其中2.x和3.x系列官方已停止维护，5.x系列是目前使用最多的一个系列，而3.x系列比较多的老用户。

PHP反序列化漏洞就是在反序列化过程中会自动触发一些魔术方法且传入的参数可控，导致攻击者可以构造payload攻击比较简单的就是直接利用魔术方法来实现，另外就是构造POP链，POP链其实最终也是通过魔术方法实现，只是相较在构造payload时会使用嵌套还有phar和session反序列化，它们的共同点都是不使用unserialize函数就可以自动反序列化以及一些绕过方法和防范方法。