代码审计

PHP代码审计-Kitecms1

环境搭建 使用phpstudy进行搭建环境,然后进入install目录。 然后输入数据库名和密码。 成功搭建好环境,然后进入后台页面。 代码审计: 1.文件上传漏洞 首先进入配置-上传,然后发现这里有...
阅读全文
安全百科

文件上传后缀绕过总结

常见的一些脚本文件上传绕过后缀,包括白名单和黑名单,来源于互联网,仅供参考。在尝试过程中,可以通过黑名单绕过:不同脚本语言支持的解析后缀黑名单简单来说就是目标程序规定了哪些文件不能上传PHP脚本后缀绕...
阅读全文
安全文章

一次白名单绕过分析

0X0 前言 文件上传获取服务器权限,一般分为黑名单,以及白名单上传至于是否解析这就是后话了,其中黑名单,见名知其意不允许上传的文件后缀,主要表现于服务器不允许上传在黑名单数组内的后缀文件,主要探测手...
阅读全文
安全文章

泛微e-office9getshell

漏洞详情 漏洞原理inc/auth.php的登录验证在未登录情况下会获取X-Requested-With的值,如果等于”LOGIN_USER_ID“就会直接结束,不等于时会使用header跳转到登录页...
阅读全文