2.PHP代码审计
文章平均质量分 79
PHP代码审计
qwsn
努力努力再努力
展开
-
1.1 wamp/wnmp 环境搭建
1.1 wamp/wnmp 环境搭建搭建PHP代码审计环境的最简单方法:安装wamp/wnmp或者lamp/lnmp等环境集成包,即可快速搭建我们所需要的PHP运行环境。(根据不同的集成环境版本、不同的操作系统进行漏洞测试) WAMP:windows、apache、mysql、php WNMP:windows、nginx、mysql、php LAMP:linux、apache、mysql、php LNMP:linux、nginx、mysql、phpwamp常用的集成环境包:phpS原创 2022-01-05 23:41:37 · 2147 阅读 · 0 评论 -
1.2 lamp/lnmp 环境搭建
phpStudy for linux安装原创 2022-01-14 23:39:53 · 2399 阅读 · 0 评论 -
1.3 PHP核心配置详解
1.3 PHP 核心配置详解为什么说,在代码审计之前,必须要熟悉PHP各版本中配置文件的核心指令,才能更高效地挖掘到高质量的漏洞呢? 代码在不同环境下执行的结果也会大有不同,可能就因为一个配置问题,导致一个非常高危的漏洞能够被利用。 在不同的PHP版本中配置指令也有不一样的地方,新的版本可能会增加或者删除部分指令,改变默认设置或者固定设置指令。PHP官方配置说明:传送门PHP_INI_*常量的定义,参见表1-1:PHP配置文件的指令多大数百项,这里只列出会影响 PHP 脚本原创 2022-01-15 01:15:43 · 1705 阅读 · 0 评论 -
一、WillPHPv2代码审计-[变量覆盖]-[文件包含]-[任意文件读取漏洞]-[pearcmd裸文件包含]
时间戳——2021.12.120x01 WP:第一步:拉去本地代码审计(框架调试)第二步:调试过程第三步:在buuctf开启的的环境里获取flag附:怎么配置phpstorm+phpstudy+xdebug远程调试注意:配置一个假的远程调试,我们就把源码放到本机(也就是127.0.0.1)的网站根目录WWW下的exp/willphpv2目录下第一步:访问https://xdebug.org/wizard,把phpinfo的内容贴进去,会返回我们可以使用的对应版本的xdebug第二原创 2021-12-12 22:12:59 · 3357 阅读 · 0 评论 -
二、BMZCTF-[easy_php]-[本地复现]-[简单的代码审计]
1.addslashes($string):对字符串参数中的预定义字符进行转义,并返回转义后的字符串2.__DIR__:取出当前脚本执行的物理路径3.PD9waHAKJExBTkdbJ21lbWJlcl9tYW5hZ2UnXSA9ICdhZG1pbic7Cj8+Cg==<?php$LANG['member_manage'] = 'admin';?>4.file_get_contents — 将整个文件读入一个字符串5.file_put_contents — 将一个字符串写入原创 2022-01-01 14:26:05 · 2224 阅读 · 0 评论 -
三、熊海CMS_v1.0-[Seay源代码审计]-[漏洞编码1&2人工审计]
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!!二、Seay代码审计系统漏洞报告审计结果:发现可疑漏洞总数:34个如下所示,是我们的index.php页面和admin目录下的index.php页面源码:2、单一入口模式第一行的注释里面有写"单一入口模式",这个是什么意思呢?简单来说就是****,例如不管是内容列表页,用户登录页还是内容详细页,都是通过从浏览器访问 index.php 文件来进行处理的,这里这个 index.php 文件就是这个应用程序的单一入口(具体造成原创 2022-07-13 01:24:17 · 1880 阅读 · 2 评论