猫爪子的诱惑〜关注我呀〜代码审计(Code Audit)是指安全代码评估者尽可能的通过阅读应用系统的源代码来发现潜在的安全漏洞及隐患的技术手段。代码审计的技术手段,可以弥补黑盒渗透测试的未能完全覆盖的...
04月25日277 views评论php
代码
初识代码审计
04月25日277 views评论php
代码
04月25日277 views评论php
代码
简单理解 PHP 框架可能产生的安全问题
前几天看到某大牛对 PbootCMS 的代码审计,突然明白了底层逻辑对 cms 审计的重要性开发者自写的框架的审计一般是 框架实现->调用地点, simple-framework 是一...
04月25日87 views评论php
框架
手把手教你配置一个 PHP 审计调试环境(保姆向)
前言 上次写了篇 macOS 下优雅地配置 PHP 代码审计环境 里面主要讲解了使用 MAMP PRO 配合 PHPStorm 来进行代码审计,但是这个环境有点臃肿了,而且并不是很多人都用 macOS...
04月24日134 views评论linux
php
Thinkphp 6 小于 6.0.2 任意文件创建覆盖漏洞分析
本文作者:1x2Bytes(信安之路红蓝对抗小组成员)6.0.0 中有两个版本存在该漏洞, dev 版本只能覆盖任意位置的文件,6.0.0-1 则可以在特定的情况下控制写入的内容实现 getshell...
04月24日311 views评论漏洞
版本
YouDianCMS 9.1代码审计前台SQL注入分析
声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此...
04月24日106 views评论众测
文章
骑士cms文件包含getshell复现
00X1 测试环境骑士 CMS 6.0.48以下均存在此漏洞,本文复现使用骑士cms 6.0.20,下载地址:http://www.74cms.com/download/index.html注意骑士c...
04月23日263 views评论getshell
文件
奇怪的PHP知识增加了
这是 酒仙桥六号部队 的第 126 篇文章。全文共计6026个字,预计阅读时长16分钟。前言随着安全防护能力的提升,在渗透测试的过程中总会遇到阻碍,今天来看看PHP we...
04月23日71 views评论php
webshell
原创 | python代码审计-osroom
点击上方蓝字 关注我吧osroom这个cms很有意思,从漏洞和程序的写法上,很适合用来入门学习,漏洞的一些形式相比来说,也比较多一点。RCEappsutilsformatobj_format.py如下...
04月23日52 views评论json
python
[代码审计] LvyeCms 任意文件写入Getshell漏洞分析
接着上一篇文章中分析了一个CSRF漏洞,本篇文章依然是这个cms,分析一个任意文件写入Getshell漏洞,文末附上CMS源码,喜欢的点个转发、再看一、漏洞简介:在后台模板新建功能处,并没有对写入的内...
04月22日295 views评论文件
漏洞
Yii2 反序列化漏洞复现分析
1、漏洞描述Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize() 时,攻击者可通过构造特定的恶意请求...
04月22日133 views评论php
漏洞
ofcms审计及小知识点延伸
1.搭建 ofcms搭建: git clone https://gitee.com/oufu/ofcms.git 然后导入maven依赖即可 注!! 手动安装重启后、还是打开安装步骤页面。 解决:检查...
04月22日112 views评论git
url
Python攻防——Fuzz绕过安全狗进行SQL注入
网安教育培养网络安全人才技术交流、学习咨询在渗透测试过程中,经常会遇到很多 Web 站点部署了 WAF,这个时候使用常规的 Payload 进行 XSS、SQL 注入的检测避免不了被 WAF 拦截阻断...
04月22日164 views评论fuzz
waf
184