前几天的HITCON是我最近参加过质量最高的CTF了, 里面的题目够我研究几周了, 而且大部分都有源码, 本地也是很容易复现

前几天出了一个SugarCRM 6.5.23 - REST PHP Object Injection Exploit漏洞, 昨天360发了一篇分析文章, 写的并不好, 看完了对php bugs 72663这个bug还是一堆疑问
本文主要分析php bugs 72663这个bug
SugarCRM的漏洞分析见p0wd3r的文章: http://paper.seebug.org/39/

这几天在研究方程式泄露的EXTRABACON（EXBA）PoC, 网上没找到能成功的远程, 所以准备自己本地搭环境, 然后看到了这篇文章http://www.freebuf.com/vuls/112589.html

LNMP: https://lnmp.org/
phpenv-installer: https://github.com/rogeriopradoj/phpenv-installer

IPS Community Suite Remote Code Execution Analysis

乌云峰会那两天放的题，没人撸出来，今晚又开题了

三个白帽之寻找来自星星的你第二期WP，这期的题目我觉得应该放在Linux逆向分类中…

这周的三个白帽题听说是前几天ALICTF的招聘题延续，上次两题都没撸出来，这次给了源码终于撸出来了。

本次SCTF的密码学是简单的RSA套餐，涵盖了6种RSA的攻击方法

研究了GGCTF中的两题密码学，用到了SHA1 Length Extension Attack && CBC Padding Oracle Attack