![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
代码审计
LetheSec
这个作者很懒,什么都没留下…
展开
-
ThinkPHP v6.0.x 反序列化
0x01 环境搭建使用composer进行安装:composer create-project topthink/think=6.0.x-dev TPv6.0cd TPv6.0php think run定义入口文件app\controller\Index.php:<?phpnamespace app\controller;use app\BaseController;...原创 2020-04-27 03:17:23 · 3435 阅读 · 0 评论 -
一道二次注入Getshell的CTF题
这道题是CUMT第二次双月赛的一道web题,在上一篇wp:CUMT第二次双月赛——Web详解中已经详细分析过了,由于我刚入门,觉得在这道题中收获了很多知识,所以想单独放在一篇文章中,方便之后分类查阅。关于什么是二次注入,可参考:SQL二次注入下面进入题目:文件管理系统1、先扫目录,发现可以下载源码,进行代码审计。2、查看upload.php代码,发现是如下白名单验证,无法上传绕过。...原创 2019-03-03 12:04:44 · 4143 阅读 · 0 评论 -
php代码审计入门读书小结
由于看到不少讲web安全的地方都会推荐一本书叫 《代码审计:企业级web代码安全架构》,于是从图书馆找来这本书读了一下,虽然有些内容可能有点老了,但整体上还是挺不错的,下面做一点总结。一、通用代码审计思路常见的代码审计思路有以下四种:1、根据敏感关键词(敏感函数)回溯参数传递过程。2、查找可控变量,正向追踪变量传递过程。3、寻找敏感功能点,通读功能点代码。(1)文件上传功能:文件上传漏...原创 2019-06-05 14:01:57 · 2014 阅读 · 0 评论