有些开源程序在更新日志里会写更新了XXX漏洞,但是互联网上还没有人公开这个漏洞代码,可以用本文的方法去审计出未公开的1day。
代码差异对比工具:WinMerge
下载地址:https://winmerge.org/downloads/?lang=en
不想安装的师傅可以下载.exe.zip 这个是绿色版免安装
工具界面
目标CMS:wuzhicms-4.0.0和wuzhicms-4.1.0
下载地址:
https://github.com/wuzhicms/wuzhicms/releases/tag/v4.1.0
先看一下4.1.0版本的更新日志,下面修复了一处任意文件下载漏洞
然后讲4.1.0和上一个版本的代码都下载下来
下载地址:
https://github.com/wuzhicms/wuzhicms/releases/tag/v4.1.0
https://github.com/wuzhicms/wuzhicms/releases/tag/v4.0.0
下载下来解压之后,用winmerge工具打开两个版本的代码根目录
然后点击比较,稍等几秒比较完成之后,深黄色背景标记的目录文件就是做了修改的地方。
他的这个过滤器也是非常好用, 可以点击选择,新建一个过滤器,将这些静态文件全部过滤掉。
比较完成后是这个样子的
然后点开文件夹会提示文件不同
上面这个标签这里可以来回切换文件
最终一个个文件翻看在 文件中看到了增加.../和文件名后缀的限制
还有一个方法也可以通过对比文件差异来审计Nday
选择好对比的版本后,然后选择更新记录
进去之后点击split按钮,就可以对照了
原文始发于微信公众号(朱厌安全):通过源码文件差异对比审计未公开1day,让你1day拿到手软!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论