一放暑假就特别多事情，很多事情都耽误了，看吐司文章看到一篇不错的审计文章，就学习下。

前两天看到七月火表哥再先知发的一篇审计文章，感觉不错，是dedecms的getshell。就分析了一下，顺便写一篇文章学习。

经拖稿一个月了，差了四篇文章没补回来， 现在都补上，虽然说这样没有坚持的按时写下去，但是只要记得要做这个事情就行了，不能中途而废。这个漏洞比较鸡肋，搁现在估计都没戏了，但是这个漏洞的思路可以学习下，积累经验。

和预期超了几天，毕业了挺多聚会的，在学校的日子总是过得那么快，一转眼就毕业了。好些东西都没去好好珍惜，大学也不要求有多大的成就，就希望每天都能开开心心就最好的。 今天这篇文章的分析早就有人发过了，不过我觉得我还是得写一下，毕竟我要有我自己的风格。还是老样子，先测试漏洞怎么触发，然后再去做分析。

因为去参加比赛，已经有一个月没有写文章了，中间玩了段时间，现在把心收回来了，坚持每周一洞的习惯。废话不多说，下面是复现PHPMailer的详细过程，一步一步来理解这个漏洞的原理。

本来不想发的，涉及太多利益了,这些棋牌游戏的源码最高能卖到几万。开发起来不比一个商场程序难。 最近又太忙了，没时间去做代码审计的文章了，但一不小心又抢了个运气王。。。

技能大赛的题目里面用的是CentOS的系统，本来觉得没什么，居然要装上Python3的版本，尝试了各种办法去下载python. 中间用了curl 和 wget的下载方式，提示，说不能建立SSL，办法就是更新wget这个工具，我想我还是自己下载吧。 然而浏览器也是

Vulnhub它是一个提供各种漏洞环境的平台，里面大部分的环境是要用VMware或者VirtualBox打开运行的。 如果只是练习一些常见的漏洞可以看我另一篇用[Docker来搭建各种漏洞靶场(妈妈再也不用担心我没有靶场练习了)](https://getpass.cn/2018/03/14/Use Docker to build a variety of loopholes (my mother no longer has to worry about not having practiced in the shooting range)/)