近日研究人員發現網路犯罪分子開始利用一個2018年12月修復的ThinkPHP漏洞來進行殭屍網路的傳播，傳播的這兩個殭屍網路是Mirai的變種Yowai和Gafgyt的變種Hakai。攻擊者通過預設憑證字典攻擊

0x01 簡介 ThinkPHP是一個快速、簡單的基於 MVC 和麵向物件的輕量級 PHP 開發框架，遵循 Apache2 開源協議釋出，一直秉承簡潔實用的設計原則，在保持出色的效能和至簡的程式碼的同時

ThinkGo 是一個輕量級的 Go 語言 MVC 框架，目前支援路由、中介軟體、控制器、請求、響應、Session、檢視、日誌等 web 框架應該具備的基本功能，致力於讓程式碼簡潔、富於表達力，幫助開發者快速

*本文作者：小紈絝，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載。 ThinkPHP 5.0 版本是一個顛覆和重構版本，也是ThinkPHP 十週年獻禮版本，基於 PHP5.4 設計（完美支援

最近TP被爆出三個RCE，最近想跟著大佬們寫的文章，把這幾個洞分析一下，這裡是 5.0.0~5.0.23 的RCE。官方補丁地址： https://github.com/top-think/framework

根據網上釋出關於thinkphp 5.x遠端程式碼執行漏洞預警，分析漏洞發生點，對比官方git更新版本，對照發現更新為request類，如下圖所示： 觀察發生更改的點為pathinfo()、method()

前言 2018年12月10日，ThinkPHP v5系列釋出安全更新，修復了一處可導致遠端程式碼執行的嚴重漏洞。阿里雲態勢感知已捕獲多起基於該漏洞的真實攻擊，並對該漏洞原理以及漏洞利用方式進行分析。此次漏洞

0x01: 漏洞簡介 2018-12-10 ThinkPHP5系列釋出安全更新，該安全更新修復了一處嚴重漏洞，該漏洞可導致（php/系統）程式碼執行。 由於框架對控制器名沒有進行足夠的檢測會導致在沒有開

平時經常還是會寫文章，不過越來越不願意發部落格了，寫的也越來越隨性，最近記流水賬的幾篇文章找出來一塊發了。 0x00 介紹 ThinkPHP是一套國內流行的開源PHP MVC開發框架，其中存在3.x和5

0x00 概述 近日，thinkphp釋出了安全更新，修復一個可getshell的rce漏洞。 0x01 影響範圍 5.x < 5.1.31 5.x <= 5.0.23

0x01 Start 2018.12.10晚上，看到有人發tp5命令執行，第一眼看到poc大致猜到什麼原因，後來看到鬥魚src公眾號的分析文章。這裡分析記錄一下。 0x02 簡單分析 tp的框架啟動

今天有時間，寫一下之前 用 TP3.2 版本 session 設定時間週期失效問題，希望可以幫助到有遇到過相同的問題的夥伴，讓你們少走一些彎路 問題場景： 在這是使用 session 快取的時候（檔案快取），設定的

ThinkPHPV5.1.30 （LTS）版本釋出，該版本為常規更新，改進了一些細節，修正了一些社群反饋的問題，支援上一版本的無縫升級（LTS版本不會再有任何的不相容更新）。 主要更新 支

ThinkPHP5.2第二個Beta 測試版本釋出了。這次主要改進了fetchSql 方法的處理機制，統一和簡化了很多查詢用法。（安裝和基本使用請參考這裡 ） 主要更新 改

關於ThinkPHP的配置一共有七種，它們分別是預設配置，應用配置，擴充套件配置，場景配置，模組配置，動態配置，環境變數配置。 一、預設配置 預設配置的檔案存在於thinkphp/conve