请教了下砖业人士PTCMS那个东西- -

Globalization

好像看到了个反序列化漏洞 调用了unserialize函数  如果传入的是构造过的序列化语句  应该可以任意代码执行 这个类里有个构造函数啊 没上下文 不敢确定是不是shell 看代码应该是 如果其他地方引入了这个类  然后传入的url不可控  然后url返回又是构造过的数据  就应该可以触发任意代码执行 这个函数可以做正常操作  也可以非法操作 有个substr  应该不是shell  就8位长度  应该也放不下个shell


所以我的解决方案是 用一台机器反代，然后源站仅允许反代机器访问。。

应该就没大问题了。

Gh0st

好，学习了。
不过我想看G奶