代码审计
文章平均质量分 86
tec-yao
这个作者很懒,什么都没留下…
展开
-
php代码审计之YIXUNCMS2.0
YIXUNCMS2.0介绍url路由分析漏洞分析任意文件删除任意文件写入任意文件写入 介绍 该cms主要使用php5、mysql。建议使用xampp的集成环境。 url路由分析 从几个入口发现,都会直接包含php/index.php这个文件,所以从这个文件开始分析。前面几行做一个预处理和常量的定义,然后包含一些文件。一直到__autoload函数,用于自动加载类。然后解析url是从Prourl:parseurl()函数开始。我们跳转进入看看。 <?php header("Content-Type:原创 2020-07-07 10:45:04 · 350 阅读 · 0 评论 -
php代码审计之chinaz小试牛刀
简化版chinaz审计前言审计思路url路由解析代码审计文件包含变量覆盖命令执行 前言 终于也跌跌撞撞踏入了php代码审计之路,前段时间学习了li9hu师傅的php代码审计介绍,学到了不少姿势,所以写个blog做个记录 审计思路 php的审计思路大概为两个 1、通读全文代码,了解项目的运行思路,然后进行漏洞挖掘。好处就是,通读代码可以把握全局,能够进行细致的挖掘。但是耗费时间精力很多,不适合入门的同学们。 2、使用半自动代码审计工具,如seay,rips,phpstorm等工具进行危险定位,并回溯可控变量。原创 2020-07-06 11:34:11 · 383 阅读 · 0 评论