PHP
文章平均质量分 79
想冲大厂的癞蛤蟆
非知功,焉知防
展开
-
phpcms V9代码审计——后台getshell+sql注入
漏洞点 —— 模板写入在phpcms\modules\dbsource\data.php文件里有个add()函数在80行有个fileputcontent()函数,将$str写入caches\caches_template\dbsource\$id.php文件当中。追踪$str,首先是查询了数据库的$id行template的值,然后经过template_cache系统类的template_parse方法对模板内容的过滤phpcms\libs\classes\template_cache.class.p原创 2021-02-02 19:42:19 · 1165 阅读 · 0 评论 -
phpcms V9代码审计——后台内网端口探测
项目Value电脑$1600手机$12导管$1Column 1Column 2centered 文本居中right-aligned 文本居右原创 2021-02-02 18:11:06 · 203 阅读 · 0 评论 -
phpcms V9中MVC模式的分析
做这篇文章主要是想熟悉在mvc模式下的cms或其他下项目中进行代码审计。文字较多~目录MVC模式PHPcms V9目录结构URL访问入口程序模块控制器MVC模式MVC是一个设计模式,它强制性的使应用程序的输入、处理和输出分开。使用MVC应用程序被分成三个核心部件:模型(M)、视图(V)、控制器(C),它们各自处理自己的任务。模型 : 模型表示企业数据和业务规则。在MVC的三个部件中,模型拥有最多的处理任务。被模型返回的数据是中立的,就是说模型与数据格式无关,这样一个模型能为多个视图提供数据。由原创 2021-01-28 21:21:46 · 397 阅读 · 0 评论 -
php代码审计之熊海cms
X00代码审计之旅刚接触代码审计,所以找了个入门级别的php源码熊海cms进行审计。如果大佬发现有错误请告知哦~ 熊海cms下载地址:http://js.down.chinaz.com/201503/xhcms_v1.0.rar使用的是Seay审计工具,听说误报常用。但是作为新手,也可以培养自己检测误报的能力开始实验吧~ (先自动审计一波)X01文件包含举...原创 2020-05-01 12:38:11 · 1224 阅读 · 1 评论 -
php代码审计之bluecms
目录环境搭建开始找洞洞sql注入-1后台sql注入-2任意文件删除-1前后台广告功能xss-1先看后台再看前台环境搭建bluecms下载地址:http://down.chinaz.com/download.asp?id=26181&dp=1&fid=19&f=yes作者用的是5.4.x的php版本,mysql数据库环境为GBK安装好环境先,数据库用户名密码,跟本地数据库一致还是利用seay自动审计一下,总的来说误报率还挺高…开始找洞洞sql注入-1/bluecm原创 2021-01-23 14:08:38 · 575 阅读 · 0 评论 -
PHP之深入学习正则表达式
目录x01 基本语法1.行定界符2.单词定界符3.字符类4.选择符5.范围符6.排除符7.限定符8.任意字符9.转义字符10.反斜杠11.小括号12.修饰符x02 使用PCRE扩展正则表达式函数1.数组过滤2.执行一次匹配3.执行所有匹配4.转义字符5.查找替换6.分隔字符串 个人实验梳理出来的正则,深刻理解建议读者动手实验。x01 基本语法一个完整的正则表达式由两部分构成:元字符和普通字符。元字符就是具有特殊含义的字符,如“.”和“?”。普通字符就是仅指代自身语义的普通文本,如数字、字母原创 2020-12-31 15:12:05 · 485 阅读 · 0 评论