代码审计 - 文章 - 第7页 - 奇安信攻防社区

Wordpress敏感信息泄漏漏洞 CVE-2021-38314 代码审计

WordPress Redux Framework class-redux-helpers.php 敏感信息泄漏漏洞 CVE-2021-38314 | 代码审计复现

1
0
PeiQi
发布于 2021-12-03 09:51:54
阅读 ( 9995 )

Java代码审计入门

在安全从业人员的日常工作中，Java相关组件出现高危漏洞的频率比较高。而代码审计就是挖掘源程序中的代码安全问题，其一直是发现应用程序漏洞的一种非常有效的方法。代码审计是黑盒渗透测试的重要补充，可以发现更多的隐藏问题。因此，代码审计通常被认为是 SDL 中非常重要的一部分。

23
10
苏苏的五彩棒
发布于 2021-12-03 09:37:51
阅读 ( 18549 )

fastadmin--upload getshell

之前遇到了一个低版本的fastadmin的站，后台能够上传文件getshell，本来想着扒拉一下源码，Github一看已经更新到了20210730的最新版，那就来看最新版的源码吧...

1
2
joker
发布于 2021-11-15 14:47:52
阅读 ( 14400 )

java代码审计之xss

个人对审计的理解，互相学习。

2
1
fan
发布于 2021-11-15 10:00:11
阅读 ( 8642 )

记详细的Java代码审计

# 记详细的Java代码审计 ## 过滤器简介 Filter也称之为过滤器，它是Servlet技术中最实用的技术，WEB开发人员通过Filter技术，对web服务器管理的所有web资源：例如Jsp, Servlet, 静态图片文件...

2
0
hrk
发布于 2021-08-31 18:36:48
阅读 ( 9388 )

小白第一次审计

## 前言刚开始学审计也是看了社区们师傅的文章https://forum.butian.net/share/387 可能是自己太菜了感觉不太详细就自己审了一下 ## 漏洞分析先打开cms 简单浏览一下 [![](https://s...

1
1
永安寺
发布于 2021-08-31 16:40:48
阅读 ( 8070 )

openemr任意文件读取删除漏洞

OpenEMR 是最受欢迎的开源电子健康记录和医疗实践管理解决方案。 5.0.1版本后台存在任意文件读取和删除漏洞。

1
0
langke
发布于 2021-08-31 15:04:34
阅读 ( 7513 )

s-cms v5版本代码审计-insert注入

## 0x01前言看到以前的版本爆了挺多洞的，想看看这个新版本还有没有漏洞给我捡一下，结果还真捡到，然后分享一下给大家。 ## 0x02 payload复现 payload(单引号要htmlencode)： ```sql ','...

2
2
修仙者
发布于 2021-08-31 14:05:50
阅读 ( 8385 )

代码审计-无回显SSRF的奇妙审计之旅

审计了一个php的无回显ssrf和getshell

2
1
XG小刚
发布于 2021-08-30 10:08:24
阅读 ( 8264 )

HisiCms代码审计

Cms官方网址 https://www.hisiphp.com/

1
0
化鱼hy
发布于 2021-08-25 10:38:55
阅读 ( 7976 )

梦想家内容管理系统 Zip Slip Traversal Vulnerability

ZIP目录遍因为ZIP压缩包文件中允许存在“../”的字符串，攻击者可以利用多个“../”在解压时改变ZIP包中某个文件的存放位置，覆盖掉应用原有的文件。可以利用此漏洞写入计划任务，或者写入Webshell造成任意代码执行漏洞。

4
4
来给你一口甜
发布于 2021-08-23 17:29:59
阅读 ( 8455 )

某小型cms代码审计

审计两个版本 v2021.0521152900 和v2021.0528154955，7月2号爆出的v2021.0521152900存在任意文件删除和任意文件上传，审计出来以后又审计了一下下一版本，图片都是当时审计时做的笔记...

1
1
A1kaid
发布于 2021-08-23 17:21:28
阅读 ( 7310 )

zzcms2020审计

# 前言该cms算是发展了很多年的了,官网在这里:http://www.zzcms.net/about/6.htm 如果想要跟着复现可以自行下载,本次发现的漏洞均已提交CNVD。 # sql注入漏洞点是在/ask/search.php的第9行...

0
0
fthgb
发布于 2021-08-23 11:59:12
阅读 ( 8438 )

某商城代码审计

## 工具： #### Phpstrom、Seay源代码审计系统 ## 步骤： ### 自动审计： ##### 找到关键点，这是在后台部分的备份功能。 [![](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2021/08/attach-...

1
1
N1eC
发布于 2021-08-17 18:00:29
阅读 ( 8044 )

记一次审计的奇思妙想

# 前言最近在社区看文章的时候,发现了这一篇https://forum.butian.net/share/326 发现作者在审计前的分析很详细,但是在找漏洞时太依靠工具,所以感觉应该还会存在一些漏洞,故有了本篇。 # 漏...

1
0
fthgb
发布于 2021-08-15 22:12:01
阅读 ( 9941 )

TP框架SQL注入&安全写法&架构&路由

``` #知识点： 1、认识PHP开发框架TP 2、掌握TP文件目录含义 3、掌握查找入口目录版本 4、掌握路由URL对应文件块 5、掌握配置代码调试开和关 6、掌握TP5代码书写安全规范 ``` 1...

1
0
轩公子
发布于 2021-08-04 11:40:22
阅读 ( 7392 )

对SEMCMS再一次审计

# 前言最近在社区看文章的时候,发现了这一篇文章:https://forum.butian.net/share/291 感觉应该还有洞,所以通读了下代码,所以有了这篇文章。 # sql注入1 在/Include/web_inc.php中我们可以...

0
0
fthgb
发布于 2021-08-03 15:02:17
阅读 ( 7614 )

锐*网管系统文件包含审计-0day

已提交cnvd，各位师傅就不要再提交了

1
2
N1eC
发布于 2021-08-02 09:52:25
阅读 ( 9329 )

一道题看 aspectj 下的任意文件写

### 前言这次国赛决赛有道 java 题感觉还不错，个人认为很适合初学反序列化的人题目文件上传在了 github 上： https://github.com/liey1/timu/blob/main/ciscn%20ezj4va.zip #...

0
0
ruozhididi
发布于 2021-07-31 15:55:52
阅读 ( 8279 )

某攻防演练期间遇到的shuipfcms的RCE审计过程

在某次授权的攻防演练项目中遇到了目标使用shuipfcms系统，接着对shuipfcms进行本地搭建后代码审计，最终获取目标权限。

0
1
中铁13层打工人
发布于 2021-07-30 15:46:05
阅读 ( 10057 )