前言从一道CTF来审计学习PHP对象注入,由功能的分析到漏洞的探测、分析和利用。考点PHP对象注入、代码审计、序列化分析信息收集题目上来给了一个文件上传的服务,没有直接去测试,对网站进行敏感信息收集,...
代码审计
代码审计
代码审计
米酷cms代审记录
一、前言米酷cms是一套用户视频搭建的cms,源码中存在大量sql注入,选了两处进行记录其余过程原理和过程都一样就不记录了。二、注册处SQL注入漏洞位置:ucenterreg.php,第1~18行。系...
代码审计
PHP代码审计入门笔记合集(共20篇)
文章来源:Bypass 早安,我的朋友们。 今天是11月20号,离2021年只41天了,今年你的小目标完成了吗? 跟大家分享件事情,其实这几个月来,我一直在准备一场考试,值得高兴的是,就在前两天终于顺...
代码审计
渗透测试中python审计0day组合拳
这是 酒仙桥六号部队 的第 105 篇文章。全文共计3264个字,预计阅读时长10分钟。前言在渗透的时候扫了扫全端口,偶遇一个系统pgadmin4,它是一款管理postg...
代码审计
绕过AMSI进行逃避审计
在之前的文章,hook rdp对外连接的账号密码 中有提到利用Detours进行hook得到rdp的账号密码,今天正好看到绕过AMSI的文章,那我们今天继续利用这个库来达到绕过AMSI的目的。1、AM...
代码审计
杀猪盘专用程序代码审计-微盘getshell
本文作者为捡垃圾安全大队队员-咕咕咕由辛巴进行修改整理。因为项目需要,所以找小伙伴咕咕咕做了一下代码审计。2020年7月。以下为正文: ...
代码审计
原创 | Java安全之CC4链
点击上方蓝字 关注我吧0x00 前言继续来分析一波CC4的链,在写该文前,看到网上大部分的文章都只给了一个调用链和POC。其实看CC4调用链的时候,能看出来CC4的调用链用到的也是前面的一些类去构造,...
代码审计
看我们如何换个姿势把玩禅道
0x01:背景近期,结合实际工作需要,对禅道项目管理系统进行了一些分析和研究,通过分析存在漏洞的代码,经过分析与实践,我们发现了一种在我们认知中相对更快捷利用相关漏洞的绕过姿势。借此机会与大家分享分享...
代码审计
记一次众测找源码到RCE
作者:水泡泡,来源:先知社区前言某众测项目,一个多端入口系统PC,APP,与及测试后台上来就去后台摸了一下底前端:react认证授权:jwt token框架:springboot+spring mvc...
代码审计
Windows操作系统基线核查
一、身份鉴别1.1应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换对用户进行鉴别也就是登录时需要你输入用户名、口令的行为。针对本地登录,使用Win+R组合键打...
代码审计
Yii2框架Gii模块 RCE 分析
利用周末时间分析了Yii2框架的一个RCE漏洞,利用了框架可以写PHP模板的功能,控制写入的内容为恶意代码,实现对指定的文件写入php 命令执行语句,调用PHP从而获取系统权限。 ...
代码审计
我是怎么挖掘yii2反序列化0day的
🐻弟们,又到周末了,是时候给大家整活儿了放心,这次不是在线吹牛环节,咱们还是得偶尔换换口味整整硬菜嘛话说周五我们小组团建结束,我扶着地铁回到了我温暖的小窝一进屋,这该死的令人陶醉的氛围就让我丢盔卸甲,...
