10 2022 档案

bees cms代码审计(3)
摘要:寻找文件上传 通过关键字upload找到admin/upload.php 访问 观察是白名单判断 查看代码 抓包进行判断 分析: if(isset($_FILES['up'])) 首先判断了是否有上传文件 if(is_uploaded_file($_FILES['up']['tmp_name'])) 阅读全文
posted @ 2022-10-25 16:46 错的是我 阅读(69) 评论(1) 推荐(0)
bees cms 代码审计(2)
摘要:通过关键字进行审计 这里通过关键字 “删除”进行搜索 对于action进行判断,如果为del_pic则执行下一步 $file=CMS_PATH.'upload/'.$value; 定义了路径 die("图片成功删除"); 删除成功则显示 图片成功删除 这个有 action 和 value参数,但是我 阅读全文
posted @ 2022-10-23 19:38 错的是我 阅读(37) 评论(1) 推荐(0)
bees cms 代码审计 (1)
摘要:PHPSTORM断点调试保姆级教程 暗月渗透测试 高级代码审计thinkphp反序列化漏洞 01 phpstudy xdebug phpstorm_哔哩哔哩_bilibili 查找sql注入 首先在登录处查找 不啰嗦 直接seay查看源码 分析: 判断action这个参数是否ck_login 一开始 阅读全文
posted @ 2022-10-21 21:23 错的是我 阅读(139) 评论(1) 推荐(0)