DYBOY's Blog

标签关键词

关于 php 的文章共有10条

网络安全
[代码审计]Emlog 6.0 Beta

Emlog6.0beta版本,这可能是最后一篇关于PHP语言CMS的代码审计文章,此次将详细记录完整的审计过程。*2018-11-02之前这篇文章发到Freebuf上面的由于某些原因删除了,却被某些爬虫网站给抓取了,现在公开,希望大家做一个合理的学习,切勿用于非法用途!官网也更新了6.0正式版,现在作为最后公布也不存在不妥之处,再次声明:仅供学习参考,任何由个人行为产生的违法犯罪...

胡乱倒腾
[开源项目]WTF_Scan-一款WEBScan工具

一款WEB端的在线敏感资产扫描器,扫描网站中的指纹、漏洞及相关敏感信息,针对已经识别的CMS指纹,进行二次0day扫描利用,一键GetShell也不是不可能!!!WTF_Scan一款WEB端的在线敏感资产扫描器,扫描网站中的指纹、漏洞及相关敏感信息,针对已经识别的CMS指纹,进行二次0day扫描利用,一键GetShell也不是不可能!!!预览界面运行环境1.PHP>5...

网络安全
[代码审计]Mini CMS V1.1

为什么最近老是在做代码审计呐?一是想要学习其他优秀开发者的架构和设计模式,二是挖掘一下开发者在开发过程中不严谨之处,作为前车之鉴。有朋友就在问小东,哪儿找到这么多的CMS审计?这里说明一下,因为在代码审计方面还比较菜,只得大面积撒网,找小众的CMS来审计学习,所以就写了一个小爬虫,把CNVD上的CMS列表厂商都给抓下来了。爬虫源码如下:#title:抓取CNVD漏洞CMS厂商列...

网络安全
[代码审计]Emlog 5.3.1-暂不公开

[该文章已设置加密,请点击标题输入密码访问]

网络安全
[代码审计]ZZCMS 8.3

偶然发现有大佬审计了这款CMS的8.2版本,并且发现了SQL注入漏洞,到官网看了一下,发现源码不大,于是想要重新审计一下,看看是否能够寻找到新的漏洞,顺便学习此CMS的架构的思想0x01简介zzcms,站长招商网cms,适用于招商代理型的行业网站,可用于医药招商网站程序源码,服装招商网站程序源码,化妆品招商网站的程序源码等官网地址:http://www.zzcms.net/这...

网络安全
PHP的常见及过滤函数探究

在源代码审计的过程中,经常会遇到各种过滤函数,了解这些函数并知道fuzz就能更好的完成组合拳,以PHP为引,抛砖引玉。0x00intval()function:此函数主要用于将变量强转为向下取整的整型数字example:xxxxx->02xxxx->22.044->20.555->05e10->5...

网络安全
PHP反序列化深入理解

简单记录一下反序列化0x00什么是序列化在PHP中右serialize()和unserialize()两个函数,php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。0x01example简单的一个例...

网络安全
PHP之伪协议深入理解

了解一门语言必须得了解其基础,之前做渗透测试,就是xjb测试,还以为自己要上天了,沉下心来,一个萝卜一个坑,加油吧,骚年~今天晚上,听了漏洞银行的大咖公开课讲的内网渗透,感觉和大咖之间还有不少差距,不过搞到了一波工具,心里依然美滋滋~//文件读取相关函数include、require、include_once、require_once、highlight_file、show_so...

网络安全
[笔记]PHP过狗一句话

四处搜刮,风雨飘摇<?php$a=$_GET['a'];$b=$_GET['b'];$c=base64_decode($a).base64_decode($b);$c=$_REQUEST['cmd'];?>

网络安全
PHP中单双引号的区别

笔记:php中单双引号的问题<?php@$code=$_GET[x];var_dump($code);//php中单双引号的区别,简而言之//双引号""中可以解析$变量、格式符//单引号''不可以解析$变量//相同点://均可以表示字符串///////////////////////////另外反引号相当于system()函数...

TOP
Powered by Emlog | Theme:Monkey by DYBOY
渝ICP备16008772号
sitemap