• 【代码审计】QYKCMS_v4.3.2 任意文件上传漏洞分析

    时间:2022-06-01 18:04:50

     0x00环境准备QYKCMS官网:http://www.qykcms.com/网站源码版本:QYKCMS_v4.3.2(企业站主题)程序源码下载:http://bbs.qingyunke.com/thread-13.htm测试网站首页:0x01代码分析1、漏洞文件位置:/admin_system/...

  • 【代码审计】iZhanCMS_v2.1 前台GoodsController.php页面存在SQL注入漏洞分析

    时间:2022-04-13 13:07:22

     0x00环境准备iZhanCMS官网:http://www.izhancms.com网站源码版本:爱站CMS(zend6.0)V2.1程序源码下载:http://www.izhancms.com/category/Category/index/cid/1默认后台:http://127.0.0.1/...

  • [代码审计]DM企业建站系统v201710 sql注入漏洞分析 | 新版v201712依旧存在sql注入

    时间:2022-04-13 13:06:58

    0x00前言本来呢,这套CMS都不想审的了。下载下来打开一看,各种debug注释,排版烂的不行。贴几个页面看看感觉像是新手练手的,没有审下去的欲望了。但想了想,我tm就是新手啊,然后就继续看了下去。随便点了一下seay工具自动审出来的几个关键点。发现有注入,既然有注入,就好好看看了。phpstorm...

  • 【代码审计】iZhanCMS_v2.1 前台IndexController.php页面存在SQL注入 漏洞分析

    时间:2022-04-13 13:07:16

     0x00环境准备iZhanCMS官网:http://www.izhancms.com网站源码版本:爱站CMS(zend6.0)V2.1程序源码下载:http://www.izhancms.com/category/Category/index/cid/1默认后台:http://127.0.0.1/...

  • 【代码审计】JTBC(CMS)_PHP_v3.0 任意文件上传漏洞分析

    时间:2022-03-23 06:14:17

     0x00环境准备JTBC(CMS)官网:http://www.jtbc.cn网站源码版本:JTBC_CMS_PHP(3.0)企业版程序源码下载:http://download.jtbc.cn/php/3.0/PHP_JTBC_CMS.C.zip测试网站首页:0x01代码分析1、漏洞文件位置:/co...

  • 【代码审计】CLTPHP_v5.5.3 前台任意文件上传漏洞分析

    时间:2022-03-23 06:14:35

     0x00环境准备CLTPHP官网:http://www.cltphp.com网站源码版本:CLTPHP内容管理系统5.5.3版本程序源码下载:https://gitee.com/chichu/cltphp默认后台地址:http://127.0.0.1/admin/login/index.html默...

  • php代码审计基础笔记

    时间:2022-03-10 11:50:40

    出处:九零SEC连接:http://forum.90sec.org/forum.php?mod=viewthread&tid=8059----------------------------------------------------------team:xdsec&90seca...

  • php代码审计比较有意思的例子

    时间:2022-02-25 16:27:59

    貌似是去年 ecshop支付漏洞 偶然出来的一个例子,感觉不错。分享下

    标签:

  • 【代码审计】CLTPHP_v5.5.3后台任意文件下载漏洞分析

    时间:2022-02-04 02:22:16

     0x00环境准备CLTPHP官网:http://www.cltphp.com网站源码版本:CLTPHP内容管理系统5.5.3版本程序源码下载:https://gitee.com/chichu/cltphp默认后台地址:http://127.0.0.1/admin/login/index.html默...

  • 【代码审计】UKCMS_v1.1.0 文件上传漏洞分析

    时间:2022-01-30 07:08:01

     0x00环境准备ukcms官网:https://www.ukcms.com/程序源码下载:http://down.ukcms.com/down.php?v=1.1.0测试网站首页:0x01代码分析1、文件位置:/application/admin/controller/Filemanage.php...

  • 【代码审计】XYHCMS V3.5文件上传漏洞分析

    时间:2022-01-30 07:08:43

     0x00环境准备XYHCMS官网:http://www.xyhcms.com/网站源码版本:XYHCMSV3.5(2017-12-04更新)程序源码下载:http://www.xyhcms.com/Show/download/id/2/at/0.html测试网站首页:0x01代码分析1、漏洞文件位...

  • [代码审计]XiaoCms(后台任意文件上传至getshell,任意目录删除,会话固定漏洞)

    时间:2022-01-30 07:08:19

    0x00前言这段时间就一直在搞代码审计了。针对自己的审计方法做一下总结,记录一下步骤。审计没他,基础要牢,思路要清晰,姿势要多且正。下面是自己审计的步骤,正在逐步调整,寻求效率最高。0x01关于XiaoCmsXiaoCms企业建站版基于PHP+Mysql架构是一款小巧、灵活、简单、易用的轻量级cms...

  • PHP代码审计中你不知道的牛叉技术点

    时间:2022-01-22 10:00:24

    一、前言php代码审计如字面意思,对php源代码进行审查,理解代码的逻辑,发现其中的安全漏洞。如审计代码中是否存在sql注入,则检查代码中sql语句到数据库的传输和调用过程。入门php代码审计实际并无什么门槛要求,只需要理解基础的php语法规则,以及理解各种类型漏洞的出现原因则可以开始尝试审计php...

  • .NET高级代码审计(第三课)Fastjson反序列化漏洞

    时间:2021-12-23 02:47:41

    0X00前言Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本,而在.Net领域也有一个Fastjson的库,作者官宣这是一个读写Json效率最高的的.Net组件,使用内置方法JSON.ToJSON可以快速序列化.Net对象。让你轻松实现.Net中所有类型(对象,基本数据类型等...

  • SQL数字型注入代码审计

    时间:2021-12-09 16:24:59

    数字型注入SQL注入攻击,简称注入攻击,是发生于应用程序与数据库层的安全漏洞.简而言之,是在输入的字符串之中注入sql指定,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,造成数据泄露,破坏数据库等,而数字注入一般就不用考虑到引号的问题了,sq...

  • 【代码审计】QYKCMS_v4.3.2 前台存储型XSS跨站脚本漏洞分析

    时间:2021-11-21 07:11:13

     0x00环境准备QYKCMS官网:http://www.qykcms.com/网站源码版本:QYKCMS_v4.3.2(企业站主题)程序源码下载:http://bbs.qingyunke.com/thread-13.htm测试网站首页: 0x01代码分析1、漏洞文件位置:/include/lib_...

    标签:

  • [代码审计]SRCMS的两点小越权

    时间:2021-11-21 05:14:21

    0x00简介SRCMS是一个开源的企业安全应急响应中心,基于ThinkPHP3.2框架开发。该系统在2017-09-09已经停止更新了,主要是在翻看p神博客文章时看到这个,随想自己再审一次。p神在2016年1月审过之后,作者做了一次更新,修补完了漏洞,几点大问题算是解决了。在我仔细审过之后,发现了两...

  • Java代码审计的一些基础知识你知道吗

    时间:2021-10-17 15:59:29

    这篇文章主要介绍了基于Java的代码审计功能的基础知识,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

    标签: