代码审计 - 第 171 | CN-SEC 中文网

代码审计

SEACMS 代码审计后台漏洞两则

本文作者：ZiNG（信安之路核心成员）特殊时期在家都无聊死了，到 CNVD 的网站上看到 seacms 出了一个鸡肋后台的 SQL 注入。想来闲来无事，就下载一套源码看看。漏洞成因很简单很简单，那为啥...

05月13日174 views评论

阅读全文

安全文章

Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693

一：漏洞描述🐑Weiphp5.0 存在管理员用户Cookie伪造，通过泄露的密钥数据，可利用加密方法来得到管理员的Cookie二: 漏洞影响🐇Weiphp <= 5.0三: ...

05月12日189 views评论

阅读全文

代码审计

再谈 zzzcms 代码执行，你也能审计出来的高危漏洞

本文作者：sher10ckzzzcms 的后台模板处的命令执行可以说是这套 CMS 比较典型的漏洞了，很久之前自己跟踪过一遍漏洞代码，最近又拿起来玩了玩，发现自己也能够审计到这个漏洞点，整个漏洞审计的...

05月12日322 views评论

阅读全文

代码审计

【PHP取证-1】寻找后台登录验证函数

＋前言在取证工作中经常会涉及到网站的还原，在做网站还原的时候会面临一个比较头疼的问题，那就是密码绕过。如何绕过网站的密码机制让我们进入后台固定数据这个对取证人员来说至关重要，接下来小知会跟大家分享网站...

05月10日93 views评论

阅读全文

代码审计

blue CMS实战（3）

前言：继上一篇文章继续往下写%00截断文件包含根据seay工具的提示，user.php下存在变量，可能存在文件包含漏洞，于是进入到user.php查看代码，很明显的文件包含漏洞，虽然前面加了路径但是可...

05月10日73 views评论

阅读全文

代码审计

Weiphp5.0 前台文件任意读取 CNVD-2020-68596

一：漏洞描述🐑Weiphp5.0 存在前台文件任意读取漏洞，可以读取数据库配置等敏感文件二: 漏洞影响🐇Weiphp <= 5.0三: 漏洞复现🐋FOFA: app="W...

05月09日378 views评论

阅读全文

代码审计

Java代码审计系列第二课实际案例讲解Apache Commons Collections反序列化漏洞

简述Apache Commons Collections是Apache Commons的组件，它们是从Java API派生而来的，并为Java语言提供了组件体系结构。Commons-Collectio...

05月08日83 views评论

阅读全文

代码审计

堕落小白的前台sql注入cms代码审计

出品｜MS08067实验室(www.ms08067.com)本文作者：小白鼠1号（投稿）小白鼠1号微信（欢迎骚扰交流）：投稿（原创）请发邮件至[email protected]，一经采用均可获赠实验室纪念...

05月06日82 views评论

阅读全文

代码审计

原创 | 浅析PHP反序列化漏洞的利用与审计

点击上方蓝字关注我吧0x00 前言反序列化漏洞其实很多人都讲过了，正巧最近在某坛子上看到篇审计讲一个典型的PHP反序列化漏洞点，那么我就重新回顾下，主要是学习思路和个人理解，如果误区请指出，笔者感谢...

05月06日84 views评论

阅读全文

代码审计

海洋 CMS 代码审计过程分析

最近在学代码审计，但总是学了忘，所以把思路步骤全写下来，便于后期整理。这次审计的是 seacmsV10.1，但是审完返现 V11 也有同样的漏洞。先放 payload:/comment/api/ind...

05月06日104 views评论

阅读全文

代码审计

利用白盒与黑盒结合的方式审计某CMS

::: hljs-center ==0x01== ::: 在群里看到Ashe表哥放了几手0day,心里那个羡慕啊于是打算开始学代码审计逛CNVD的时候发现最近SDCMS的漏洞比较多,于是下手挖掘,找到...

05月06日196 views评论

阅读全文

代码审计

从开发角度看那些FastJson漏洞不为人知的事情

文章来源自FreeBuf.COM前言在FastJson<=1.2.24漏洞公布时我还是一个开发，对于这个消息我震撼至极，那时的FastJson的热度可谓如日中天。但是，对FastJson漏洞复现...

04月27日67 views评论

阅读全文

在线咨询

微信