根据网上的perl脚本,改了个python的脚本,主要用敏感关键字查找,代码很简单,有新的关键字,自己代码里添加关键字就好了。 用法: 把要扫描的目录和文件fuzz.py放在一起 运行python fuzz.py ...
分类:
Web程序 时间:
2018-12-05 12:13:41
阅读次数:
157
作为一名准备成为CTF里WEB狗的萌新,在做了3个月的CTF的web题后,发现自己php代码审计非常不过关,并且web的架构模式条理也十分的不清晰,于是抱着提高代码审计能力的态度在近期会去写一个简单的cms(其实现在怎么写思路还是不清晰) 环境搭建:vmware虚拟环境,win7系统,web采用快捷 ...
分类:
Web程序 时间:
2018-06-10 11:54:24
阅读次数:
199
(一)parse_str()—将字符串解析到变量中 ?a=1 即可完成覆盖 (二)extract()—从数组中将变量导入 ?a=1即可完成覆盖 (三)import_request_variables()—将 GET/POST/Cookie 变量导入到全局作用域中 >php 4.1.0 <php 5. ...
分类:
Web程序 时间:
2018-04-18 11:48:31
阅读次数:
191
一、GPC 二、特性 三、危险函数 代码执行 文件包含 文件读取 文件上传 命令执行 变量覆盖 变量的编码与解码 跨站脚本 反序列化 枚举 四、阅读技巧 五、新技能 $a = $_GET['file']; include $a.'.html.php'; 在可以控制协议的情况下,首先新建一个hello ...
分类:
Web程序 时间:
2018-02-04 16:45:08
阅读次数:
174
主要是一些PHP代码审计的基础知识和一些之前爆出漏洞的复现和总结 ...
分类:
Web程序 时间:
2018-02-02 23:15:58
阅读次数:
237
“Just for fun.Or for yourself.” 信息安全工程师教程报名、中级测试(0/45)坚持学习 入门python,实现密码算法,可以写脚本、简单小项目。 计算机病毒原理,深入了解。OD IDA 工具等掌握 CTF(非常重要),刷题,多做,保持记录习惯。 php代码审计/测试/. ...
分类:
其他好文 时间:
2017-12-22 20:49:57
阅读次数:
149
右键查看源码,发现有提示source.txt,打开链接 <?php if ("POST" == $_SERVER['REQUEST_METHOD']) { $password = $_POST['password']; if (0 >= preg_match('/^[[:graph:]]{12,}$ ...
分类:
Web程序 时间:
2017-12-03 00:28:47
阅读次数:
359
0X01 普通注入 SQL参数拼接,未做任何过滤 测试语句:id=1 UNION SELECT user(),2,3,4 from users 0x02 宽字节注入 A、MYSQL中的宽字符注入 示例代码: 测试语句:%df%27 mysql的特性,因为gbk是多字节编码,两个字节代表一个汉字,所以 ...
分类:
数据库 时间:
2017-11-01 12:18:43
阅读次数:
310
新的开始: 目标是win64驱动编程与rootkit, 外挂技术从32bit到64bit的. Windows漏洞分析与挖掘, php代码审计 Win64编程 32位系统逐渐淘汰,转到64位编程相当重要. 但苦于64位驱动编程网上的资料比较杂乱 这里打算写写关于64位驱动编程的内容,当然大部分内容都是 ...
0x00背景 对于PHP代码审计的需求,我们当然需要一款好的php代码审计分析工具--RIPS,它使用了静态分析技术,能够自动化地挖掘PHP源代码潜在的安全漏洞如XSS ,sql注入,敏感信息泄漏,文件包含等常见漏洞;也可以采用正则方式扫描代码发现漏洞;还能够采用自定义的语法扫描代码发现问题。渗透测 ...
分类:
Web程序 时间:
2017-08-29 11:13:24
阅读次数:
618
