XiaodiSec day034 Learn Note 小迪渗透学习笔记

Hugo_McQueen2024-04-22 14:47

XiaodiSec day034 Learn Note 小迪渗透学习笔记

记录得比较凌乱,不尽详细

day34

黑盒审计和白盒审计

与 cms 相关

.net java php 代码审计

开始

黑盒:找文件上传的功能

  1. 个人用户中心是否存在文件上传功能
  2. 后台管理系统是否存在文件上传功能
  3. 字典目录扫描探针文件上传构造地址
  4. 字典目录扫描探针编辑器目录构造地址

白盒:看三点:中间件,编辑器,功能代码

白盒 cms 审计中的配置文件.htaccess 配置可能导致无法访问上传的 php 马

思路

  1. 更换其他上传目录
  2. 修改.htaccess 文件
相关推荐
尖枫5083 小时前
学习笔记:金融经济学 第1讲
笔记·学习·金融
Acxymy3 小时前
MySQL学习笔记十九
笔记·学习
啊哈哈哈哈哈啊哈哈3 小时前
R3打卡——pytorch实现心脏病预测
pytorch·深度学习·学习
WDeLiang3 小时前
Vue学习笔记 - 逻辑复用 - 组合式函数
vue.js·笔记·学习
_yingty_4 小时前
Go语言入门-反射4(动态构建类型)
开发语言·笔记·后端·golang
再玩一会儿看代码4 小时前
[特殊字符] 深入理解 WSL2:在 Windows 上运行 Linux 的极致方案
linux·运维·windows·经验分享·笔记·学习方法
桃子不吃李子5 小时前
前端学习10—Ajax
前端·学习·ajax
明明真系叻5 小时前
2025.4.13机器学习笔记:文献阅读
人工智能·笔记·机器学习
sensen_kiss6 小时前
CPT208 Human-Centric Computing 人机交互 Pt.2 Prototype(原型)
学习·人机交互·原型模式
李匠20246 小时前
C++学习之密码学知识
学习·密码学
热门推荐
01我决定放弃搞 Java 了02RAG 实践- Ollama+RagFlow 部署本地知识库03从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑04Vue3 + TypeScript 的 Hooks 实用示例05DeepSeek RAGFlow构建本地知识库系统06如何在WPS和Word/Excel中直接使用DeepSeek功能07【WRF理论第十三期】详细介绍 Registry 的作用、结构和内容08汽车上的各种质量:整备质量、总质量、装载质量、簧上质量、簧下质量09DeepSeek各版本说明与优缺点分析10React 从基础到架构实践