qq_41891666的博客

0x00 前言这篇文章主要是结合 thinkphp 5.0.x 两个rce :(1)变量覆盖filter(2)没有开启强制路由导致rce来分析thinkphp 的路由0x01 路由检测首先要说的是$dispatch 调度信息，类似于：调度信息最后会传入App::exec() 中:而exec 会根据调度信息的type ,去调用相应的函数去映射到具体的函数上去执行。App.php 中run() 函数中，$dispatch 是通过 App.php 中的routeCheck() 函数返回

0x01 前言这次来分析分析thinkphp 的源码。这是这个系列的第一篇。本篇涉及除了涉及到了框架的基本流程外，还涉及了thinkphp 中类的自动加载机制。0x02 thinkphp 安装这次选择的是thinkphp 5.0.22 完整版，下载的地址: http://www.thinkphp.cn/down/1260.html0x03 目录结构这是官方文档上的目录结构。0x04 请求基本流程分析thinkphp是单入口框架，所有的请求都先经过 public/index.php 文件，

0x00 前言继续分析 thinkphp v6.0.x 反序列化利用链，本来是打算先分析 thinkphp v5.2.x 的利用链的，但是使用composer 安装失败，而且官方又说只能通过composer 来安装 , 网上找了好久没找到解决方法，然后去github上面提交 issue ,官方给的回复 是没有 5.2版本，这个回答确实有点懵。所以就先来分析 6.0.x 的反序列化利用链。0x01 分析thinkphp 6.0 __toString() 后面的利用链和 thinkphp 5.2 是

0x01 环境准备首先 git clone 到本地，然后phpstorm 打开，git reset hard 到漏洞修复之前的commit0x02 审计首先在install.php 开头就做出了两个判断，需要finish 参数以及refer头要是本站的值核心漏洞处：第一行直接反序列化Typecho_Cookie::get(’__typecho_config’)，没有进行任何过滤跟进Typecho_Cookie::get() 函数发现此函数是用来取cookie 中的值的，但是如果对应

0x00 前言：继续上次 bypass 安全狗，这次测试的是 bypass 最新版安全狗来上传 php 一句话0x01 实验环境:win7 sp1 + phpstudy v8.1(apache 2.4) + 安全狗v4.0.2.665服务端脚本:<?phpuse function \move_uploaded_file as test;if (file_exists("upload/" . $_FILES["file"]["name"])) { echo $_FI

php bypass disable_functions 总结前言:之前在做ctf 题的时候，遇到很多次给出shell 但是却有disable_function 限制的题目，一直没有好好搞清楚绕过的方法，今天来一个总结0x00 先说一个php 7 的绕过吧，直接一把梭：（????）https://github.com/mm0r1/exploits/tree/master/php7-backtrace-bypass0x01: 明确要使用的绕过方法:(1) 首先查看phpinfo ,如果是php