一、環境搭建 熊海cms v1.0源碼 windows 7 phpstudy2016（php 5.4.45） seay源代碼審計系統 注意搭建環境時將路徑中的中文改成英文 二、漏洞列表 seay 報出 34 個可能的漏洞，不是很多可以再結合容易出漏洞的功能點逐一 ...

新手審計cms BlueCMSv1.6 sp1 這個cms有很多漏洞所以來審計一波。。做一手記錄 漏洞一：SQL注入： 可以通過網上大佬的方法用法師大大的seay工具，也可以用phpstroml來審計 1、通過seay或者phpstrom來搜索經典的傳參方式$_GET、$_POST ...

cms后台登錄繞過 練習源碼：【來源：源碼下載】（數據庫配置信息有誤，interesting） 注：需進行安裝 1、創建數據庫 2、設置賬號密碼，連接數據庫 3.1　正常登錄后台，抓包分析數據提交位置【admin/login.php】 第3、4、7行：直接獲取提交 ...

前言 php代碼審計介紹：顧名思義就是檢查php源代碼中的缺點和錯誤信息，分析並找到這些問題引發的安全漏洞。 1、環境搭建： 工欲善其事必先利其器，先介紹代碼審計必要的環境搭建 審計環境 windows環境（windows7+Apache+MySQL+php） phpstudy（任何php ...

PHP 代碼審計代碼執行注入 所謂的代碼執行注入就是 在php里面有些函數中輸入的字符串參數會當做PHP代碼執行。 如此的文章里面就大有文章可以探究了 一 常見的代碼執行函數 Eval，assert,preg_replace Eval函數在PHP手冊里面的意思是：將輸入 ...

前面有一段時間審計了一個小眾的cms發現了很多漏洞，作為一個新手，個人覺得最開始學習代碼審計的時候從一些簡單的系統學起是很有必要的，比如最開始可以從bwapp、dvwa等，然后再慢慢過渡到一些小眾的cms，然后可以過渡到像dede、wordpress這些，雖然不一定能審計出漏洞，但是學習到他 ...

系統介紹 CMS名稱：新秀企業網站系統PHP版 官網：www.sinsiu.com 版本：這里國光用的1.0 正式版 （官網最新的版本有毒，網站安裝的時候居然默認使用遠程數據庫？？？迷之操作 那站長的后台密碼豈不是直接泄露了？疑似遠程數據庫地址：server.sinsiu.net ...

xdebug調試 調試環境部署 xdebug的版本需要與PHP版本相對於，所以不要輕易改變PHP環境版本。 0 配置php解析器 1 下載對應版本的xdebug xdebug官網下載地址：https://xdebug.org/download.php 你需要仔細分析和選擇要下載 ...