我给你提供一个思路,你可以在一些在线awd网站答题过程中找相应的cms源码,比如bugku上面的awd线上靶场环境:https://ctf.bugku.com/这是网址,上面有很多cms靶场,你可以先一个一个的解决这些模板的漏洞分析和利用,属于实战和理论的真实结合。就比如Beescms的漏洞,phpmyadmin的漏洞,thinkphp各版本的漏洞,php168的漏洞,超级cms的漏洞,yxcms的漏洞,蝉知cms的漏洞等等。。。。这些寻找cms源码和漏洞的过程你就会慢慢无意识的了解相应漏洞原理和利用防护相关的知识和手段了。觉得有用点个赞吧?我看楼上面的社友们回答都挺好的,你可以借鉴着看。
23 个回答
可以github搜索cms关键字,然后根据star的量和readme去找
源码之家https://www.mycodes.net/
github上,搜cms就行,还可以选编程语言 :)
可以上fofa,钟馗之眼上搜索
看网站上的特有的url,路径,报错信息,技术支持啥的上个大搜索引擎上搜索这种特征码
1、github
2、某源码网站
3、淘宝
4、看人脉,找找大佬,也许打过呢
想做白盒审计就去 各种开源网站上 github 码云上看看。黑盒测试的话fofa zoomeye shodan搜一搜关键字
github ,码云,建议google语法去找,国内外都有,不要局限
1、github搜索cms,或者对应语言php、asp、java等框架
2、在百度谷歌等搜索引擎直接搜索cms,可以通过搜索到的cms名称再去搜对应的官网或者github上的源码
3、在一些cms指纹识别的字典库中有cms的指纹,看到自己细化的cms名称再去搜github或者官网找
github,码云,还有一些开源源码网站。比如源码之家。
github上或者搜索一下xx源码站就可以找到挺多的
github上面搜索cms。还有一种是 有时候拿到shell可以扫一下源码备份文件 或许管理员疏忽就忘了删了
有很多免费开源的cms官方平台可以下载源码,或者去淘宝搜索一些付费的cms资源。
有相应的提供cms的网站,里面一搜一大堆
github搜索、咸鱼、淘宝、扫描网站备份文件、各种安全群这主要看人脉
github,码云,源码之家,fofa,shodan,google,baidu
https://github.com/search?q=cms
https://search.gitee.com/?skin=rec&type=repository&q=cms
https://down.chinaz.com/
这几个地方可以找
1、找最新版的版本较低的,例如1.1、1.2
2、找github star不多的
3、找源码总容量小的
4、尽量不要找使用tp、yii、laravel等框架型CMS
1、github
2、某源码网站
3、淘宝
1、github、码云等源码网站
2、fofo、全球鹰、360搜搜关键字
3、cnvd捡漏
1、github、码云等源码网站
2、fofo、全球鹰、360搜搜关键字
3、cnvd捡漏
寻找中小型 CMS(内容管理系统)可以使用以下关键词进行搜索:
- Lightweight CMS
- Small-scale CMS
- Simple CMS
- Minimalist CMS
- Micro CMS
- Basic CMS
小型cms可以去某宝这种去买,还可以直接去gitee或者github里面直接搜索,比如想要java项目的ssm框架 就直接搜索,java ssm即可