前言
有些开源程序在更新日志里会写更新了XXX漏洞,但是互联网上还没有人公开这个漏洞代码,可以用本文的方法去审计出未公开的1day。
代码差异对比工具:WinMerge下载地址:https://winmerge.org/downloads/?lang=en
不想安装的师傅可以下载.exe.zip 这个是绿色版免安装工具界面
目标CMS:wuzhicms-4.0.0和wuzhicms-4.1.0
下载地址:https://github.com/wuzhicms/wuzhicms/releases/tag/v4.1.0
代码审计
先看一下4.1.0版本的更新日志,下面修复了一处任意文件下载漏洞
然后讲4.1.0和上一个版本的代码都下载下来
下载地址:
https://github.com/wuzhicms/wuzhicms/releases/tag/v4.1.0
https://github.com/wuzhicms/wuzhicms/releases/tag/v4.0.0
下载下来解压之后,用winmerge工具打开两个版本的代码根目录
然后点击比较,稍等几秒比较完成之后,深黄色背景标记的目录文件就是做了修改的地方。
他的这个过滤器也是非常好用, 可以点击选择,新建一个过滤器,将这些静态文件全部过滤掉。
比较完成后是这个样子的
然后点开文件夹会提示文件不同
上面这个标签这里可以来回切换文件
最终一个个文件翻看在 文件中看到了增加…/和文件名后缀的限制
还有一个方法也可以通过对比文件差异来审计Nday
选择好对比的版本后,然后选择更新记录
进去之后点击split按钮,就可以对照了
代码审计和渗透测试训练营试听课
部分师傅报名前反馈想要课程的试听课,由于准备课程也没什么时间为大家录试听视频,而且一两节可能也感觉不出什么,索性趁着国庆直接为大家开启试听活动,本次试听周期可能是全网时间最长的。
为了防止免费试听大家全部都涌过来报名,所以这次试听要先付99,试听结束后不想报名的师傅可全额退费。
试听条件:(不可开启分组可见)
试听时长:三周(9节,大概会讲到常见漏洞分析)
试听规则:付费 99 元试听满意报名时可抵99元学费,(不满意全额退款)并转发本文至朋友圈。
试听名额:66 个。(名额有限,先到先得)
扫码添加微信报名试听课:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
