杂言 一直计划学PHP代码审计但一直不在状态,翻了一下王叹之师傅的博客发现人家是体系化的学习,对比起来我实在是太浮躁了,回想起之前的面试,很多问题都是似懂非懂的,很多东西都太零碎,是要好好静下心来学东西了,要把这个PHP代码审计好好学,这里我是参照着教程和吴翰清的《代码审计 企业级Web代码安全架构 ...
分类:
Web程序 时间:
2020-06-09 16:31:34
阅读次数:
84
代码审计入门 A .{php中xdebug} 配置 配置工具 A xdebug+visual studio code B xdebug + phpstrom 二者都选择用phpstudy与其搭配 xdebug 什么叫断点 就是在某一处设置断点 当函数执行到断点处就会停止 断点可以在任意地方设置 比如 ...
分类:
Web程序 时间:
2020-06-06 15:39:31
阅读次数:
103
5pe25YWJ5aaC6aOO6L2m77yM5Y205LiN5Lya6L2u5Zue44CC5pyd6Zye5LiO5aSV5pmW77yM5Y+q5Zyo6L2s55Sf44CC 今天学了php代码审计的思路以及php配置的讲解, 1.了解MVC: MVC全名是Model View Contr ...
分类:
Web程序 时间:
2020-04-04 09:23:10
阅读次数:
71
学习的链接 http://qiyuanxuetang.net/courses/video/21/ 环境搭建 phpstudy Xdebug 1.打开phpstudy找到对应php版本的php.ini文件 2.打开phpstorm编辑器 配置php环境 Debug端口 代理的设置 配置一下server ...
分类:
Web程序 时间:
2020-03-17 08:07:46
阅读次数:
93
0x00 看网站结构 0x01 通读代码 先看一下入口文件: index.php: 引用配置文件,还有调用模板 先跟过去看看配置文件吧: top_index.php 1:打开模板 $fp返回值是否为true 2:还有一个我觉得奇怪的点: 能够传入我们请求的url,注意一下看看后面的文件有没有可控的点 ...
分类:
Web程序 时间:
2020-02-17 12:32:34
阅读次数:
232
系统介绍 CMS名称:新秀企业网站系统PHP版 官网:www.sinsiu.com 版本:这里国光用的1.0 正式版 (官网最新的版本有毒,网站安装的时候居然默认使用远程数据库???迷之操作 那站长的后台密码岂不是直接泄露了?疑似远程数据库地址:server.sinsiu.net ) 下载地址:蓝奏 ...
分类:
Web程序 时间:
2020-02-09 11:19:01
阅读次数:
92
CTF-BUUCTF-[HCTF 2018]WarmUp题目: 知识点:根据提示,毫无疑问,PHP代码审计解题一、访问链接 /index.php?file=hint.php 是一个文件包含,source.php 是 index.php 的源代码。得到提示,flag 在 ffffllllaaaaggg ...
分类:
其他好文 时间:
2020-02-08 09:41:52
阅读次数:
86
0x00 序列化与反序列化 序列化: serialize()把对象转换为字节序列的过程称为对象的序列化 反序列化: unserialize()把字节序列恢复为对象的过程称为对象的反序列化 0x01 序列化 这里就是转化成7个字节序列 s:strings类型,7:7个字节。 a:数组类型 i:int型 ...
分类:
Web程序 时间:
2020-02-02 19:27:28
阅读次数:
111
0x00 目录穿越 目录穿越(Directory Traversal)攻击是黑客能够在Web应用程序所在的根目录以外的文件夹上,任意的存取被限制的文件夹,执行命令或查找数据。目录穿越攻击,也与人称为Path Traversal攻击。 0x01 目录穿越 漏洞危害 攻击者可以使用目录穿越攻击来查找,执 ...
分类:
Web程序 时间:
2020-01-31 12:40:16
阅读次数:
227
