php审计之——XDebug

最新推荐文章于 2022-08-09 20:27:11 发布
最新推荐文章于 2022-08-09 20:27:11 发布
阅读量216 收藏 1
点赞数 1
分类专栏: 代码审计 文章标签: php审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44632427/article/details/97636011
版权
XDebug是一款用于PHP程序调试的开源工具,能够帮助审计人员跟踪、调试和分析程序运行情况。它提供了日志配置、数据显示选项以及多种格式的追踪输出。XDebug支持自动追踪和触发方式追踪,其功能包括堆栈追踪、错误信息、内存分配、脚本剖析、代码覆盖率分析及远程调试。熟悉XDebug的使用对于PHP审计工作十分有益。
摘要由CSDN通过智能技术生成

XDebug

XDebug介绍
XDebug是一个开放源代码的php程序调试器(即一个Debug工具)
可以用来跟踪,调试和分析php程序的运行状况
这对于审计来说,有很大的帮助
XDebug配置
一、日志

xdebug.trace_output_dir

日志追踪输出目录

xdebug.trace_output_name

日志文件名,xdebug提供了一系列的标识符,生成相应格式的文件名,具体参照官网

xdebug.trace_options

记录添加到文件中方式:1 = 追加(如果存在该文件).0(default) = 覆盖(如果存在该文件)
最好选择覆盖,如果选择追加的话,可能记录的文件会越来越大。
二、显示数据

xdebug.collect_params

非零值 = 控制function的参数显示选项
0 = 不显示
1 = 参数类型,值(例如:array(9))
2 = 同上1,只是在CLI模式下略微有区别
3 = 所有变量内容
4 = 所有变量内容和变量名(例如:array(0 => 9))

xdebug.collect_retrun

1 = 显示function返回值。Default 0不显示


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  人间酒中仙
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
php xdebug 代码跟踪、性能分析

				
			

			

				

					weixin_42097973的博客
				

				

					01-22
					
					1049
					
				

			

		

		

			
				
1、什么是 xdebug?

Xdebug是一个开放源代码的PHP程序调试器(即一个Debug工具),可以用来跟踪,调试和分析PHP程序的运行状况。(摘自百度百科)

个人认为 xdebugphp 最好的调试工具,没有之一。对于一些莫名奇妙的问题,代码的执行轨迹、执行了哪些类、调用了哪些类的方法,性能分析等,使用 xdebug 代码跟踪,通过记录日志可以轻松解决。

2、 如何安装xdebug


windows 系统下载对应 php 版本的 xdebug.dll 文件,放在 php 的安装目录 e.

			
		

	



                

              
                



	

		

			

				
					
php代码审计_php代码审计基础指南——Xdebug

				
			

			

				

					weixin_39684235的博客
				

				

					11-23
					
					152
					
				

			

		

		

			
				
01代码审计入门前言 代码审计入门门槛偏高,审计过程枯燥,导致代码审计的师傅偏少。这篇文章送给想入手代码审计的朋友们,希望提升读者的代码审计入门兴趣。配置配置工具:   xdebug + visual studio code   xdebug + phpstrom可以选择PHPStudy搭建PHP环境基础概念断点:在某一处设置断点,当函数执行到断点处就会停止,断点可以在...

			
		

	



                


  
              

                


	

		

			

				
					
PHP代码审计调试环境配置(PHPstudy+PHPstorm+xDebug+Chrome)

				
			

			

				

					wouijvziqy的博客
				

				

					02-07
					
					631
					
				

			

		

		

			
				
0、在chrome浏览器下载并安装xdebug插件,当开启该插件时,在phpstorm中设置断点,将自动运行到该断点

在选项中设置好IDEkey,与下面php.ini的配置文件一致

1、在phpstudy上选择好对应的php版本
由于phpstudy集成xdebug的扩展,所以不用下载xdebug,在phpstudy->其他选项菜单->php扩展及设置->php扩展->xdebug

2、修改php.ini文件

把php.ini中[xdebug]部分改成如下,里面地址按照实际情

			
		

	





	

		

			

				
					
linux php环境搭建_php代码审计 Xdebug 环境搭建

				
			

			

				

					weixin_39641103的博客
				

				

					11-29
					
					129
					
				

			

		

		

			
				
在做php代码审计时会用到的debug环境,需要的同学可以查看搭建一下0x00 安装准备phpstudyhttps://www.xp.cn/phpstormxdebughttps://xdebug.org/0x01 配置过程1、安装好phpstudy后需要打印phpinfo()内容并且将phpinfo()的html源码放在,https://xdebug.org/wizard这个地址...

			
		

	



		

			
		



	

		

			

				
					
xdebug php日志跟踪调试

				
			

			

				

					qq_22648203的博客
				

				

					03-13
					
					2677
					
				

			

		

		

			
				
debug方式是:xdebugxdebug_start_trace();
/* 业务代码     */
xdebug_stop_trace();
他解决了我长久以来一个代码调试问题:比如有以下几个场景:
1、一个有几百行的函数,里面有很多return,现在函数异常返回了,但是我不知道是从哪一行返回的,这时候呢,我一般的做法都是每一行echo();die();太费事了。
2、接触一个

			
		

	





	

		

			

				
					
php代码审计之——phpstorm动态调试.doc

				
			

			

				

					07-09
				

			

		

		

			
				
PHP 代码审计PHPStorm 动态调试  本文将介绍如何使用 PHPStorm 进行动态调试,包括 Xdebug 的安装、配置、PHPStorm 的配置和使用等内容。  一、Xdebug 的安装和配置  Xdebug 是一个 PHP 调试工具,可以帮助开发者...

			
		

	





	

		

			

				
					
代码审计——1、环境搭建

				
			

			

				

					嗳硪所嗳
				

				

					02-09
					
					856
					
				

			

		

		

			
				
一、工具准备集成环境:PHPStudy 2018IDE:PHPStorm 2017.3.3浏览器: Mozilla Firefox 56.0.2 x64火狐插件:Hackbar(By Darkmelody)、Xdebug StarterSeay源代码审计系统工具下载链接:https://pan.baidu.com/s/1c3rFune 密码:dbtk二、环境搭建打开安装好的PHPStorm软件,创...

			
		

	





	

		

			

				
					
PHP代码审计环境配置

				
			

			

				

					willow_liang的博客
				

				

					10-27
					
					348
					
				

			

		

		

			
				
代码审计的思路及流程

MVC架构
MVC是- -种使用 MVC ( Model View Controller模型:视图控制器)设计创建Web应用程序的模式。MVC模式同时提供了对HTML、CSS 和JavaScript的完全控制。
●Model (模型)是应用程序中用于处理应用程序数据逻辑的部分。 表示应用程序核心(比如数据库记录列表) , 通常模型对象负责在数据库中存取数据。
●View (视图)是应用程序中处理数据显示的部分。显示数据(数据库记录) ,通常视图是依据模型数据创建的。
...

			
		

	





	

		

			

				
					
zzcms2019重装漏洞审计

				
			

			

				

					Cvjark的博客
				

				

					03-28
					
					751
					
				

			

		

		

			
				
审计cms的重装业务逻辑并实现bypass达到系统重装的目的
漏洞点zzcms.com/install/index.php
附加调试器,访问:http://www.zzcms.com/install/index.php?XDEBUG_SESSION_START=16156(XDEBUG_SESSION_START是调试器附加的)访问结果如下图:


根据页面回显信息,keyword是:/install/install.lock文件,回到index.php代码,索引这个字段,发现0 found


试试全局f

			
		

	





	

		

			

				
					
PHP代码审计——代码调试

				
			

			

				

					W小哥
				

				

					08-07
					
					307
					
				

			

		

		

			
				
echo
最简单的输出数据调试方法,一般用来输出变量值或者不确定执行到哪个分支
看不懂的代码,不知道会输出什么内容的,可以自己调试一下看看输出什么
print_r、 var_dump、 debug_zval_dump
这个主要是输出变量的数据值,特别是数组和对象数据,一般我们在查看接口的返回值或者不确定的变量,都可以使用这两个API,debug_zval_dump输出结果和var_dump类似,唯一增加的一个值是refcount,记录一个变量被引用了多少次




debug_print_backtrace

			
		

	





	

		

			

				
					
php调试xdebug_使用Xdebug调试和分析PHP

				
			

			

				

					culi3182的博客
				

				

					08-12
					
					744
					
				

			

		

		

			
				
PHP is the most popular language for web development, but a common criticism against it used to be that it lacked a suitable debugger. Developers using languages like Java and C# enjoy a powerful suit...

			
		

	





	

		

			

				
					
SQL注入进阶篇一php代码审计

				
			

			

				

					kali_Ma的博客
				

				

					10-15
					
					1468
					
				

			

		

		

			
				
前言
在实际的网站中和用户的输入输出接口不可能想那样没有防御措施的。现在各大网站都在使用waf对网站或者APP的业务流量进行恶意特征识别及防护,,避免网站服务器被恶意入侵。所以我们就需要绕过waf,这篇文章就用代码审计的方式给大家讲解一些sql的绕过技巧。
关键字过滤
部分waf会对关键字进行过滤,我们可以用大小写或者双写关键字来绕过。
源代码分析
<?php
require 'db.php';
header('Content-type:text/html;charset=utf8');
$usern

			
		

	





	

		

			

				
					
kali 2021.2 php 7.4.23 配置xdebug

				
			

			

				

					qq490765184的博客
				

				

					09-15
					
					501
					
				

			

		

		

			
				
一、安装检测

将phpinof的所有信息输入到https://xdebug.org/wizard 下,进行检测,将获得安装指导。

二、安装

下载安装源码到一个喜欢的目录,切换到该目录


tar -xvzf xdebug-3.0.4.tgz #解压
cd  xdebug-3.0.4 #切换目录
phpize #查看扩展编号
    #Configuring for:
    #PHP Api Version:         20190902
    #Zend Module Api No:     

			
		

	





	

		

			

				
					
XDebug的配置和使用(审计方法)

				
			

			

				

					gl620321的博客
				

				

					07-28
					
					284
					
				

			

		

		

			
				
一、XDebug的介绍

很多PHP程序员调试使用echo、print_r()、var_dump()、printf()等,其实对
于有较丰富开发经验的程序员来说这些也已经足够了,他们往往可以在程序执行的过程中,通过输出特定变量的值可以判断程序执行是否正确,甚至效率高低也可以
看出来(当然可能还需要使用一些时间函数)。那么我们为什么还需要一个专门的调试程序来监控我们的程序运行呢?
Xdebug是一个...

			
		

	





	

		

			

				
					
kaliphp安装xdebug问题解决

				
			

			

				

					weixin_45778886的博客
				

				

					03-13
					
					856
					
				

			

		

		

			
				
问题记录问题背景解决办法重装php7.4添加源写入源更新源安装php7.4到 Kali Linux.验证
问题背景
kali本身自带php7.4为php7.4.26,apt源中没有其对应的php-dev,也即没有了对应的phpize,此时装xdebug就是一个难事,因为使用apt直接装的话,是找不到对应版本的,编译源码还需要phpize.
解决办法
参考连接:kali安装php7.4
Ubuntu 安装 PHP 及切换 PHP 版本
重装php7.4
添加源
首先在 etc/apt/下新建一个文件夹 tru

			
		

	





	

		

			

				
					
代码审计课程5-XDebug的配置和使用

				
			

			

				

					北冥有鱼
				

				

					07-27
					
					442
					
				

			

		

		

			
				
内容简介

介绍

XDebug配置


作者配置(不是我)

配置好以后我们可以测试一下


产生了一个追踪文件,打开

里面能看到各种文件的加载和读取
然后我们来看一个黑科技
这是一个随手写的测试代码

加密之后,我们无法去进行审计

如果我们想知道密码 就直接搜索password

然后去解密,这个地方也就是我们的原代码了
然后用几波替换的骚操作



代码就被挖掘出来了

...

			
		

	





	

		

			

				
					
网络安全学习小结--kali基本工具、webshell、代码审计

				
			

			

				

					Tauil的博客
				

				

					08-09
					
					2563
					
				

			

		

		

			
				
webshell连接工具:中国菜刀、Cknife、Altman、xise、Weevely、quasibot、Webshell-Sniper、蚁剑 antSword、冰蝎 Behinder、webacoo、哥斯拉 Godzilla、PhpSploit。两方连接通话命令,假定AB进行连接,A(1.1.1.1)为控制端,B(2.2.2.2)为受控端,前后不同即为开启顺序不同。漏洞脚本库,提权,shell获取等等。暴力遍历网站目录,获取网站结构。木马制作,后门连接shell。也有一句话木马,设定密码为。...

			
		

	





	

		

			

				
					
Kali安装leviathan-大规模审计工具包

				
			

			

				

					weixin_33835690的博客
				

				

					09-16
					
					325
					
				

			

		

		

			
				
Leviathan是一个大规模审计工具包,具有广泛的服务发现,强力,SQ​​L注入检测和运行自定义漏洞利用功能。它包含开源工具,如masscan,ncrack,dsss,并为您提供组合使用它们的灵活性。该项目的主要目标是在全国范围内或在广泛的IP范围内审核尽可能多的系统。主要特点:发现:通过Censys的Shodan,发现在特定国家或IP范围内运行的FTP,SSH,Telnet,RDP,MYSQL...

			
		

	





	

		

			

				
					
NetBeans PHP开发环境配置:启用Xdebug教程

				
			

			

				

					
				

			

		

		

			
				
本文将介绍如何在WAMP服务器环境下,使用NetBeans作为PHP开发工具来开启Xdebug扩展,以便进行高效的PHP代码调试。  在PHP开发过程中,Xdebug是一个非常重要的工具,它提供了一系列的调试功能,如变量追踪、性能分析...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值