🌧

摘要： 分析 与上一个漏洞类似，这个也是前端可以传入一个数组变量，如['exp','123','123']，后端根据array[0]来将array[1]和array[2]直接拼接到SQL语句中。 由于TP只是框架，为了保证应用业务正常运行，不能为主应用做过多的安全防御（如转义、去除危险字符等）。 上一个漏洞 阅读全文

摘要： [TOC] 分析 首先看一下控制器，功能是根据用户传来的id，修改对应用户的密码。 13行把用户传来的id参数送入where()作为SQL语句中的WHERE语句，将pwd参数送入save()作为UPDATE语句。 这里我们假设请求id参数为array("bind","aaa")，pwd参数为bbb。 阅读全文

摘要： [TOC] Thinkphp 阅读全文

摘要： [TOC] Typecho 反序列化漏洞学习 0x00 前言 补丁： https://github.com/typecho/typecho/commit/e277141c974cd740702c5ce73f7e9f382c18d84e diff 3b7de2cf163f18aa521c050bb54 阅读全文

摘要： [TOC] SSRF逆向分析 0x00 前言 之前有复现过一些漏洞，但是每次按照别人的思路复现完了之后感觉还是有很多疑问，知道了怎么做但是不知道为什么这么做，所以这次我尝试自己从补丁一步步找到攻击链，构造poc。 0x01 收集情报 补丁地址： https://gitee.com/ComsenzDi 阅读全文

摘要： [TOC] 0x00 首先，session_start()是什么？ 当会话自动开始或者通过 session_start() 手动开始的时候， PHP 内部会依据客户端传来的PHPSESSID来获取现有的对应的会话数据（即session文件）， PHP 会自动反序列化session文件的内容，并将之填 阅读全文

摘要： [TOC] 0x00 废话 "DSXS" 是一个只有一百行代码的xss扫描器，其作者刚好就是写sqlmap的那位，下面来看一下其扫描逻辑。0x01部分文字较多，感觉写的有点啰嗦，如果看不下去的话就直接看最后的0x02的总结部分。 0x01 扫描逻辑 程序有两个 非并行 的逻辑，第一个逻辑是检测dom 阅读全文

摘要： [TOC] 0x00 前言 这款插件的名字叫 "ra2 dom xss scanner" ，其作者刚好也是jsprime的开发者，后续有可能会继续跟进一下jsprime。这个ra2比较老了，大概是七年前的一款，后来也就没有更新过。下面简单的分析一下其扫描的原理。 0x01 浅析 其大致的原理如下，首 阅读全文

摘要： sqlmap Bool型&延时型 检测策略分析 [TOC] 0x00 预备 queryPage() 首先先讲一个核心的函数：queryPage()。这个函数在以下分析中贯穿始终。其被用于请求页面， 同时具有多种返回值以适配多种检测策略，见下图： 下面分析一下这几个return的情况。 第一个retu 阅读全文

摘要： [TOC] 影响版本： 2.0.0 2.0.9 1.0.0 1.0.5 0x00 前言 这个漏洞与之前那个SpringBoot的SpEL表达式注入漏洞点基本一样，而且漏洞爆出来的时间点也差不多，可是没有找到那个漏洞的CVE编号，不知道是什么原因。 这个漏洞的触发点也是对用户传的参数的递归解析，从而导 阅读全文