目录 漏洞速览  复现 漏洞速览  微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区 主要就是两步，sql注入拿到用户token，再以用户身份上传恶意phar包打phar反序列化 因为文件上传对用户权限没有限制，故本文对sql注入部分不做探讨。只关注假设已经拿到用户身份(如服务开放注册接口)后如何寻找反序列化链子并利用。 复现 关注官方的commit http