官网:http://www.appcms.cc/演示站点:http://www.topber.com/下载最新安装包:http://www.appcms.cc/download/appcms_2.0.101.zip安装好后看pic.php文件代码如下:<?phpif(isset($_GET[‘url‘])&&trim($_GET[‘url‘])!=‘‘&&is
分类:
移动开发 时间:
2020-05-31 09:15:34
阅读次数:
115
基本把代码的意思都写入注释中了,我之前博客写的,图可能不是太清晰,也可以去我之前博客看 1.Js绕过 webshell; 直接function改成return true 2.Content-type绕过 稍微改一下就可以了 3.phtml上传绕过 这一关没什么可说的,算是钻了apahce的一个空子吧 ...
分类:
Web程序 时间:
2020-05-30 19:58:05
阅读次数:
92
给了两个 文件 index.html 和 一个js文件 ,考察js代码审计能力首先借助浏览器来运行js 程序。用浏览器打开index.html,分析 js 代码: 首先无论在 token 输入框中输入什么字符串,getFlag() 都会算出一个 hash 值,实际上是showFlag()函数中 ic ...
分类:
其他好文 时间:
2020-05-03 12:24:39
阅读次数:
158
[安洵杯 2019]easy_serialize_php 学到的知识:extract对session数组的覆盖 反序列化逃逸的方法 1.代码审计 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('ph ...
分类:
Web程序 时间:
2020-05-01 18:38:58
阅读次数:
104
解题思路 打开直接源码,没别的,审就完事了 代码审计 反序列化思路 1. 首先观察new了A类,然后将其序列化,经过两个函数处理后再反序列化。 2. C类中有tostring魔法方法,利用其中的file_get_contents函数读取flag.php文件 3. 触发tostring魔法方法需要字符 ...
分类:
其他好文 时间:
2020-04-26 11:10:09
阅读次数:
225
菜鸡跟着前辈文章入门代码审计。 首先看一下这套cms的源代码目录分布 admin//管理员后台 css//css样式 files//功能函数 images//图片文件 inc//配置信息 install//安装目录文件 seacmseditor//seacms编辑器 template//模板文件 u ...
分类:
其他好文 时间:
2020-04-25 23:52:59
阅读次数:
160
简单地说,这个就是个普通的代码审计软件, 官网:http://cppcheck.net/ 使用起来也不麻烦。留个记录,告诉未来的我,如何使用。 首先去官网下载安装包,这个最好还是下载,但是不下载也没问题。 下载安装包只是希望在单独使用的时候,可以看到界面,可以更方便地使用。不想看界面就不要下载。 安 ...
分类:
其他好文 时间:
2020-04-25 09:15:50
阅读次数:
112
CICD 代码审计 2019/09/04 Chenxin 需求说明 要实现的预期目标是什么?(安全,高效,规范?) 规范 后期考虑安全. 漏洞原理 参考 https://blog.csdn.net/wangzhida2008/article/details/75253369 常见web漏洞原理分析 ...
分类:
其他好文 时间:
2020-04-21 15:25:11
阅读次数:
80
0x00:写在前面 最近把ctf捡起来 好久没写题目了,准备刷刷ctf题目 冲啊!!! 0x01:解题思路 首先打开页面 查看源代码发现线索。 打开source.php进行代码审计。 <?php highlight_file(__FILE__); class emmm { public static ...
分类:
其他好文 时间:
2020-04-21 12:41:09
阅读次数:
87
MKCMS代码审计小结 MKCMS V6.2 (以下源码来自网络)MKCMS米酷影视源码6.2开源CMS下载地址链接:https://pan.baidu.com/s/1cZX5x9SbcXMCMXismfH4ow 提取码:k3ox备用下载地址:https://www.lanzous.com/ib7z ...
分类:
其他好文 时间:
2020-04-21 09:17:24
阅读次数:
102
