随笔分类 - 代码审计
摘要:一开始看到这个建站系统,感觉有些庞大,遂先百度搜索 DM 建站系统的漏洞 的历史文章 ,然后去CNVD查了查,发现可能存在代码开发人员安全意识不够高的问题,于是先看了看先知论坛上大佬的文章,感觉受益匪浅,其实总体思路还是之前那一套,不过从大佬身上学习到了很多,这里就记录下一步步学习的过程,先放上文章
阅读全文
摘要:任意文件删除漏洞 思路①:因为post传进来值之后还会和后面的$file['savename']进行拼接,所以需要把 尝试:通过seay审计系统查找出了漏洞,构造post请求抓包尝试,最终失败,原因是 post 请求的数据最终是不会被带入执行的, 下面是源代码: //删除原图 //unlink('.
阅读全文
