代码审计小技巧
时间:2021-08-11
本文章向大家介绍代码审计小技巧,主要包括代码审计小技巧使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
1.
刚学代码审计,看到什么骚操作都想学,这个是在b站上看到的一位up用的脚本
如果拿到了一个站的源码,但是无法进入后台(可以自己直接搭建。。),那就要找前台的漏洞
通过这个脚本列出来源码中的所有文件
import os
def all_path(dirname):
result = []
for maindir, subdir, file_name_list in os.walk(dirname):
for filename in file_name_list:
if filename[-3:] != 'php':
break
apath = os.path.join(maindir, filename)
result.append(apath)
return result
print('\n'.join([i[9:].replace('\\','/') for i in all_path('xionghai')]))
将这些路径保存到文件中
访问网站,抓包
将刚才的路径加载进去
爆破出来那些200的文件前台就可以访问啦
就可以愉快的审计前台getshell的RCE啦
2.
在拿到一套源码后,如何快速的知道有没有全局过滤呢,可以直接找一个文件输出一下
这样就可以快速判断有没有全局过滤了
----------------------------------------
未完待续
原文地址:https://www.cnblogs.com/tankcz/p/15128854.html
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法