XiaodiSec day034 Learn Note 小迪渗透学习笔记
记录得比较凌乱,不尽详细
day34
黑盒审计和白盒审计
与 cms 相关
.net java php 代码审计
开始
黑盒:找文件上传的功能
- 个人用户中心是否存在文件上传功能
- 后台管理系统是否存在文件上传功能
- 字典目录扫描探针文件上传构造地址
- 字典目录扫描探针编辑器目录构造地址
白盒:看三点:中间件,编辑器,功能代码
白盒 cms 审计中的配置文件.htaccess 配置可能导致无法访问上传的 php 马
思路
- 更换其他上传目录
- 修改.htaccess 文件