前言学习CTF这么久还没真正意义上审计过一款cms,这次决定花点时间去审计一款cms作为代码审计提升的跳板。由于相关要求,这里就省去cms全名了,主要分享一下学习思路。代码审计安装漏洞其实一般代码审计...
05月22日7 viewsphp
文件
漏洞评论
某logCMS的代码审计:越权到后台getshell
05月22日7 viewsphp
文件
漏洞评论
05月22日7 viewsphp
文件
漏洞评论
某cms两处全站xss漏洞
1. 前言在cnvd上看到有人爆了 这款cms的几个sql注入,本想着下载下来复现一下,也算是学习下代码审计,然后下载最新版的发现基本已经被修复了,然后想着能不能找到新的漏洞,最后也就以两处惨淡的xs...
05月18日7 viewsxss
文件
漏洞评论
实战 -- 某医院管理系统Getshell
前言其实这周打算开始学Blockchain智能合约的,但是网络不行。。。先鸽一下。起因是之前在等核酸结果,就顺便看了一下医院的管理系统,发现是某博。和有关部门要了授权,尝试了一下。安装CMS其实这一步...
05月16日12 viewsshell
文件
漏洞评论
数据库日志监控使用教程(附下载)
高质量的安全文章,安全offer面试经验分享尽在 # 掌控安全EDU #作者:掌控安全—子羽数据库日志监控1.0-使用教程直接双击运行打开软件输入好 数据库地址 端口号 用户名 后选择对应的数据库以M...
05月12日6 views文件
漏洞
网络安全评论
java代码审计之xss
最近工作项目来了有点忙,更新没那么多,也没有那么多时间和精力去调反序列化链子后期肯定都会去走一遍的。毕竟代码审计,对已知组件的漏洞涉及包已经原理分析还是很重要的。现在就先分享点我自己下载的cms审计的...
03月25日27 viewsrequest
审计
漏洞评论
小白代码审计开山篇
最近小白一直在学习代码审计,对于我这个没有代码审计的菜鸟来说确实是一件无比艰难的事情 ,但是恰恰应了一句老话:万事开头难。但是我会坚持下去。何况现在已经喜欢上了代码审计,下面呢就说一下appcms后台...
03月25日27 views代码
审计
小白评论
PHP代码执行集锦
点击蓝字关注我们前言代码审计总要遇到命令执行或者说RCE,打CTF的过程中难免不会碰见,毕竟PHP是世界上最好的语言,总结一下命令执行函数E.g.1 <?php ...
03月22日27 viewsphp
代码
代码执行评论
某达oa代码审计
某达oa代码审计0×00:前言 近期公司内部举办了开源系统挖掘漏洞比赛,本菜前段时间刚学习了php代码审计,挖到了目标之一通达oa的一些漏洞,本文主要记录了不能调试的情况下如何审计网站漏洞...
02月27日89 viewssql
文件
漏洞评论
代码审计 metinfo
代码审计 metinfo0×00:前言挖掘米拓cms时发现系统存在一处过滤函数多次调用引起的sql注入,遂记录下来与师父们一起学习下,有啥不足之处,菜鸟勿喷O(∩_∩)O影响版本:metinfo7.5...
02月26日67 viewsphp
安全
漏洞评论
这些基本的哥斯拉特征你都改了吗?
继续上一篇00x1 默认密码哥斯拉你难道也用默认密码吗?同样是有特征检测这里的!00x2 内置头部信息同样的内置信息你以为哥斯拉就没有吗?改掉改掉!00x3 需要二开的特征剩下的特征基本都需...
01月18日106 views审计
密码
默认评论
浅谈利用codeql进行java代码审计分析(1)
0x00 前言 毕业的师兄推荐我来学习一下一款名叫codeql的代码审计工具,作为目前刚问世不久的代码审计工具拥有着巨大的优势,它在github上作为一款免费工具供安全审计人员使用,同时还可以利用其特...
01月10日83 viewscodeql
github
审计评论
某CMS代码审计思路分享 - err0ratao
某CMS代码审计思路分享 前言 大师傅丢给了我一个CMS,说挺简单的,让我尝试审计看看。于是我开启了自己的第一次代码审计。这篇文章主要是讲自己写审计时的一些思路把,对于代码的分析还是比较少的。 工...
12月31日51 viewscms
代码
审计评论