点击上方蓝字关注我们 并设为星标0x00 前言 我们系统整理了PHP的审计技巧及ThinkPHP框架的审计技巧。通过对这些文章的深入研究,结合其他权威资源,我们提取了一系列实用的代码审计方法和技...
【Python代码审计】佰阅发卡存在前台RCE漏洞
点击上方蓝字关注我们 并设为星标0x00 前言█ 该文章来自零日防线社区版主 Reversing_Byte 投稿 █适用于各种电商、优惠卷、论坛邀请码、充值卡、激活码、注册码、腾讯爱奇艺积分CDK等,...
RCE漏洞原理及危害、相关危险函数
首先先了解什么是RCE漏洞(Remote Code|Command Execute):由于程序中预留了执行代码或者命令的接口,并且提供了给用户使用的界面,导致被黑客利用, 控制服务器。漏洞原理:代码执...
PHP与ThinkPHP框架代码审计综合技巧
0x00 前言 我们系统整理了PHP的审计技巧及ThinkPHP框架的审计技巧。通过对这些文章的深入研究,结合其他权威资源,我们提取了一系列实用的代码审计方法和技巧,旨在帮助安全...
审计技巧 | TP框架的系统如何快速高效挖掘漏洞
点击上方蓝字关注我们 并设为星标0x00 前言 我们系统整理了PHP的审计技巧及ThinkPHP框架的审计技巧。通过对这些文章的深入研究,结合其他权威资源,我们提取了一系列实用的代码审计方法和技...
路由器漏洞挖掘
工具漏洞挖掘用到的工具:binwalk、firmwalker、IDA、burpsuit。• Binwalk用于解包固件,如果使用Kali自带的binwalk很可能会造成有些未加密的固件,解包解不出来的...
web漏洞挖掘方法 - 命令注入篇
命令注入(Command Injection)是一种常见的网络安全漏洞。它发生在Web应用程序调用服务器的操作系统命令时(比如 ping、ls 等),而攻击者可以通过输入恶意的命令,使得这些命令在服务...
深谈 php Bypass Disable Functions 方法
1. 背景 PHP.ini 中可以设置禁用一些危险函数,例如eval、exec、system 等,将其写在php.ini 配置文件中,就是我们所说的disable_functions 了,特别是虚拟主...
java代码审计的小工具 JavaCat
0x01 工具介绍 这是一款辅助java代码审计的小工具。通过匹配指定目录下所有文件中包含的java的一些危险函数,可能误报高,但对于审计多少有些帮助!0x02 安装与使用 1、使用者只需要自定义关键...
记一次绕过宝塔的的文件上传
本文由掌控安全学院 - caih 投稿前几天找到个可以上传任意文件的上传点,成功上传phpinfo页面并能访问,但是不能成功上传一句话,发现这台主机装了宝塔,经过反复尝试终于成功上传一句话并连接。 0...
代码审计工具编写
hw结束以后就花了12天左右去一个写java静态分析审计kit,结果完成的不咋地,把当时的思路想法分享一下,大家感兴趣的可以看看,集思广益。思路碰撞工具产生动机:之前分析泛微oa漏洞,发现一些漏洞成因...