php框架中模板的包含问题

本文的灵感来自于前不久swpu的一道ctf题目——You Think I Think,由于那周要参加省赛,所以没有好好看这些题目,现在回过头来看大佬的wp,感觉学到不少东西。

2018.02.26 来填坑了~~ 仔细想了想还是把名字改了,这种情况还是更适合叫文件包含而不是模板注入。

Continue Reading...

XDCTF web write up

国庆在家打了一波xdctf,题目质量挺高的,学到了不少东西。整理了一下web题目,感觉web题的比重越来越小,web狗可能要踏上艰难的转型路了。。。

Continue Reading...

Thinkphp5实现安全数据库操作以及部分运行流程分析

0x01 前言

文章的灵感来自于此文ThinkPHP3.2.3框架实现安全数据库操作分析,由于接触框架比较晚,本着紧跟技术最前沿(手动滑稽)的想法,学习了TP5。之前在开发过程中遇到问题也会去看一下源码,但一直没有系统的看过TP5底层是如何保证安全的。在动手写之前上面的大佬紧接着又更新了TP5的分析框架filterExp函数过滤不严格导致SQL注入,先膜一发,然后开始读代码。。。

Continue Reading...