XiaodiSec day034 Learn Note 小迪渗透学习笔记

Hugo_McQueen2024-04-22 14:47

XiaodiSec day034 Learn Note 小迪渗透学习笔记

记录得比较凌乱,不尽详细

day34

黑盒审计和白盒审计

与 cms 相关

.net java php 代码审计

开始

黑盒:找文件上传的功能

  1. 个人用户中心是否存在文件上传功能
  2. 后台管理系统是否存在文件上传功能
  3. 字典目录扫描探针文件上传构造地址
  4. 字典目录扫描探针编辑器目录构造地址

白盒:看三点:中间件,编辑器,功能代码

白盒 cms 审计中的配置文件.htaccess 配置可能导致无法访问上传的 php 马

思路

  1. 更换其他上传目录
  2. 修改.htaccess 文件
相关推荐
MY_TEUCK5 小时前
【2026最新Python+AI学习基础】Python 入门笔记篇
笔记·python·学习
qq_571099355 小时前
学习周报四十五
学习
鱼很腾apoc7 小时前
【学习篇】第20期 超详解 C++ 多态:从语法规则到底层原理
java·c语言·开发语言·c++·学习·算法·青少年编程
子繁~~9 小时前
AI工具学习
学习
nnsix9 小时前
设计模式 - 模板方法模式 笔记
笔记·设计模式·模板方法模式
Terrence Shen10 小时前
Claude Code Harness 源码学习讲义
linux·学习·ubuntu
RainCity11 小时前
Java Swing 自定义组件库分享(六)
java·笔记·后端
南境十里·墨染春水11 小时前
守护进程编程流程
linux·学习
羊群智妍11 小时前
2026 AI搜索优化:企业级GEO监测工具选型手册
笔记
GEO从入门到精通12 小时前
学习GEO资料要多久能看到效果?
人工智能·学习
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03Gemini大升级、AI眼镜首发、Android XR亮相,13天后见分晓04【AI】2026 年具身智能模型和世界模型总结05CC-Switch & Claude 基于 Linux 服务器安装使用指南06Codex 手机端连接教程:三分钟搞定,附完整步骤07人工智能最新动态 AI 日报 · 2026年5月10日08裂开!ChatGPT 居然开始要手机号验证,附详细解决方法09几个好用的ip纯净度检测网站10【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法