前言最近学习php代码审计，lmxcms很适合去学习代码审计，因为比较简单。环境搭建源码下载地址http://www.lmxcms.com/phpstudy+phpstorm,apache2.4.39+MySQL5.7.26,php5.3.29网站首页后台管理搭建成功框架配置入口文件config.inc.php配置文件run.inc.php初始化文件入口在Action.class.php中找到调用方法的可以看出m参数是类名前缀，开头大写，a参数是方法名那么我就知道该框架处理请求的格式如下http://127.0.0.1/lmxcms1.4/admin.php?m=xx类名&a=xx方法【---

前言最近学习php代码审计，lmxcms很适合去学习代码审计，因为比较简单。环境搭建源码下载地址http://www.lmxcms.com/phpstudy+phpstorm,apache2.4.39+MySQL5.7.26,php5.3.29网站首页后台管理搭建成功框架配置入口文件config.inc.php配置文件run.inc.php初始化文件入口在Action.class.php中找到调用方法的可以看出m参数是类名前缀，开头大写，a参数是方法名那么我就知道该框架处理请求的格式如下http://127.0.0.1/lmxcms1.4/admin.php?m=xx类名&a=xx方法【---

漏洞简介　　PhpStudy国内12年老牌公益软件，集安全、高效、功能与一体，已获得全球用户认可安装，运维也高效。支持一键LAMP、LNMP、集群、监控、网站、数据库、FTP、软件中心、伪静态、云备份、SSL、多版本共存、Nginx反向代理、服务器防火墙、web防火墙、监控大屏等100多项服务器管理功能。小皮Windowsweb面板存在存储型xss漏洞，结合后台计划任务即可实现RCE。影响版本　　因为我一边测试一边写文章，但是我发现下载下的新版本的已经添加了过滤，但是并没有更新日志。环境搭建　　从官网下载小皮windows面板安装包　　https://www.xp.cn/windows-pan

漏洞简介　　PhpStudy国内12年老牌公益软件，集安全、高效、功能与一体，已获得全球用户认可安装，运维也高效。支持一键LAMP、LNMP、集群、监控、网站、数据库、FTP、软件中心、伪静态、云备份、SSL、多版本共存、Nginx反向代理、服务器防火墙、web防火墙、监控大屏等100多项服务器管理功能。小皮Windowsweb面板存在存储型xss漏洞，结合后台计划任务即可实现RCE。影响版本　　因为我一边测试一边写文章，但是我发现下载下的新版本的已经添加了过滤，但是并没有更新日志。环境搭建　　从官网下载小皮windows面板安装包　　https://www.xp.cn/windows-pan

前言：某天，同事扔了一个教育站点过来，里面的url看起来像有SQL注入。正好最近手痒痒，就直接开始。一、发现时间盲注和源码后面发现他发的url是不存在SQL注入的，但是我在其他地方发现了SQL盲注。然后改站点本身也可以下载试用源代码，和该站点是同一套系统：一开始的思路是直接用时间盲注写马，然后遇到的问题就是如何获取站点的绝对路径。通过sqlmap自带的字典去爆破，发现都失效了。（但是其实只是没写成功，不代表路径是不对。）那么接下来的思路就在源码上了。从源码里面没有找到啥可以直接未授权getshell的点。后面在本地搭建这套系统时，发现了其配置信息都在网站目录下的configure.php，后面

前言：某天，同事扔了一个教育站点过来，里面的url看起来像有SQL注入。正好最近手痒痒，就直接开始。一、发现时间盲注和源码后面发现他发的url是不存在SQL注入的，但是我在其他地方发现了SQL盲注。然后改站点本身也可以下载试用源代码，和该站点是同一套系统：一开始的思路是直接用时间盲注写马，然后遇到的问题就是如何获取站点的绝对路径。通过sqlmap自带的字典去爆破，发现都失效了。（但是其实只是没写成功，不代表路径是不对。）那么接下来的思路就在源码上了。从源码里面没有找到啥可以直接未授权getshell的点。后面在本地搭建这套系统时，发现了其配置信息都在网站目录下的configure.php，后面

前言：在最近的wxb举行hw中，同事让我帮他看看一些后台登录站点。尝试了未授权，弱口令皆无果，要么不存在弱口令，要么有验证码，没办法绕过。本文章仅提供一个思路，在hw中更多时候并不推荐尝试这种思路，只能作为一种解，因为花费的时间较长，前后大概花费了一个小时才拿下一个后台账号。过程及思路：在外围打点的过程中发现了一个站点，存在用户名枚举：然后看到下面的验证码，估计很多都会放弃了吧！短信验证码+密码才能登录，爆破难度太大了。我一开始也是这么想的，后面尝试了下面的找回密码，看看是否能任意修改他人的账号密码。后续先用自己不常用的手机号获取下验证码（这一步其实在hw中是很危险的，很容易被溯源）。发现短信

起因事情的起因很有趣，前几天我正对着电脑发呆的时候，突然有个安全交流群的群友来找我交流一个问题大概的意思就是，他在挖SRC的时候，发现一处资产存在目录遍历漏洞，它通过这个漏洞，找到目标资产使用了一个名为phpmailer的中间件（应该类似于中间件吧），问我有没有办法利用，我查了一下这个组件的漏洞信息。最新的洞似乎截止到6.5.0版本以前很不幸，群友这个版本是6.5.1，刚好就不能利用了找不到符合版本的洞没关系，抱着学习的心态，我还是看了一下它的历史漏洞成因，不看不知道，看了之后就学到一些好玩的新知识了，这也就是为什么会有这篇文章的原因。CVE-2016-10033的简单分析CVE-2016-1

前言：在最近的wxb举行hw中，同事让我帮他看看一些后台登录站点。尝试了未授权，弱口令皆无果，要么不存在弱口令，要么有验证码，没办法绕过。本文章仅提供一个思路，在hw中更多时候并不推荐尝试这种思路，只能作为一种解，因为花费的时间较长，前后大概花费了一个小时才拿下一个后台账号。过程及思路：在外围打点的过程中发现了一个站点，存在用户名枚举：然后看到下面的验证码，估计很多都会放弃了吧！短信验证码+密码才能登录，爆破难度太大了。我一开始也是这么想的，后面尝试了下面的找回密码，看看是否能任意修改他人的账号密码。后续先用自己不常用的手机号获取下验证码（这一步其实在hw中是很危险的，很容易被溯源）。发现短信

起因事情的起因很有趣，前几天我正对着电脑发呆的时候，突然有个安全交流群的群友来找我交流一个问题大概的意思就是，他在挖SRC的时候，发现一处资产存在目录遍历漏洞，它通过这个漏洞，找到目标资产使用了一个名为phpmailer的中间件（应该类似于中间件吧），问我有没有办法利用，我查了一下这个组件的漏洞信息。最新的洞似乎截止到6.5.0版本以前很不幸，群友这个版本是6.5.1，刚好就不能利用了找不到符合版本的洞没关系，抱着学习的心态，我还是看了一下它的历史漏洞成因，不看不知道，看了之后就学到一些好玩的新知识了，这也就是为什么会有这篇文章的原因。CVE-2016-10033的简单分析CVE-2016-1