XiaodiSec day034 Learn Note 小迪渗透学习笔记

Hugo_McQueen2024-04-22 14:47

XiaodiSec day034 Learn Note 小迪渗透学习笔记

记录得比较凌乱,不尽详细

day34

黑盒审计和白盒审计

与 cms 相关

.net java php 代码审计

开始

黑盒:找文件上传的功能

  1. 个人用户中心是否存在文件上传功能
  2. 后台管理系统是否存在文件上传功能
  3. 字典目录扫描探针文件上传构造地址
  4. 字典目录扫描探针编辑器目录构造地址

白盒:看三点:中间件,编辑器,功能代码

白盒 cms 审计中的配置文件.htaccess 配置可能导致无法访问上传的 php 马

思路

  1. 更换其他上传目录
  2. 修改.htaccess 文件
相关推荐
lazy H7 分钟前
Maven 依赖爆红怎么办?IDEA 中 Maven 项目常见问题和解决方法总结
java·后端·学习·maven·intellij-idea
Flittly7 分钟前
【AgentScope Java新手村系列】(8)多Agent协作
java·spring boot·笔记·spring·ai
lazy H20 分钟前
Spring Boot 连接 MySQL 失败怎么办?常见报错原因和解决方法总结
spring boot·后端·学习·mysql·spring
skywalk816333 分钟前
段言项目推进6.15 @ Dumate+Trae
开发语言·学习·编程
Cloud_Shy61839 分钟前
解读《Effective Python 3rd Edition》:从练气到老魔(第七章 Item 51)
开发语言·人工智能·笔记·python·学习方法
承渊政道40 分钟前
【MySQL数据库学习】(MySQL复合查询)
数据库·学习·mysql·bash·database·数据库开发·数据库架构
云和数据.ChenGuang41 分钟前
metrics的解释 人工智能
人工智能·深度学习·学习·机器学习·概率论
fanged44 分钟前
Linux_Driver_Tutorial(1)(TODO)
学习
星恒随风1 小时前
C++ string 入门(一)
开发语言·c++·笔记·学习
hnult1 小时前
2026在线笔试平台选型指南:考试云九重防作弊与六大AI能力解析
人工智能·笔记·microsoft·课程设计
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?02HTTP 与 HTTPS 的区别:从原理到实战详解032026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05【AI】2026 年具身智能模型和世界模型总结06GitHub 镜像站点07AI科技热点日报 | 2026年6月1日08上线仅72小时被强制下架:Claude Fable 5 的短命09Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析10《置身钉内》原文-可播放阅读