XiaodiSec day034 Learn Note 小迪渗透学习笔记

Hugo_McQueen2024-04-22 14:47

XiaodiSec day034 Learn Note 小迪渗透学习笔记

记录得比较凌乱,不尽详细

day34

黑盒审计和白盒审计

与 cms 相关

.net java php 代码审计

开始

黑盒:找文件上传的功能

  1. 个人用户中心是否存在文件上传功能
  2. 后台管理系统是否存在文件上传功能
  3. 字典目录扫描探针文件上传构造地址
  4. 字典目录扫描探针编辑器目录构造地址

白盒:看三点:中间件,编辑器,功能代码

白盒 cms 审计中的配置文件.htaccess 配置可能导致无法访问上传的 php 马

思路

  1. 更换其他上传目录
  2. 修改.htaccess 文件
相关推荐
xzal1215 分钟前
python中,turtle基础知识笔记1
笔记·python·turtle
han_hanker1 小时前
RequestAttributes , ServletRequestAttributes学习
学习
weixin_513449962 小时前
PCA、SVD 、 ICP 、kd-tree算法的简单整理总结
c++·人工智能·学习·算法·机器人
鱼鳞_2 小时前
Java学习笔记_Day29(异常)
java·笔记·学习
嵌入式小企鹅2 小时前
DeepSeek-V4昇腾首发、国芯抗量子MCU突破、AI编程Agent抢班夺权
人工智能·学习·ai·程序员·算力·risc-v
Amazing_Cacao3 小时前
CFCA精品可可产区认证课程风土解析(亚洲):撕开标签伪装,将微气候差异转化为可用变量
学习
我的xiaodoujiao3 小时前
API 接口自动化测试详细图文教程学习系列11--Requests模块3--测试练习
开发语言·python·学习·测试工具·pytest
九成宫3 小时前
IT项目管理期末复习——Chapter 8 项目质量管理
笔记·项目管理·软件工程
Flittly3 小时前
【SpringSecurity新手村系列】(3)自定义登录页与表单认证
java·笔记·安全·spring·springboot
墨澜逸客4 小时前
《华胥文化》百回大纲
学习·其他·百度·学习方法·新浪微博
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free04AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析05GPT-6发布日深度解析-Symphony架构200万Token实战06零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)07一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛08从零部署 Hermes Agent:一只"会成长的 AI 马"保姆级安装教程09从限购到畅通:GLM-5.1 Coding Plan接入攻略10基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南