代码审计学习(一)yzmcms

作者: 分类: 代码审计 时间: 2016-03-10 浏览: 3656 评论: 2条评论

最近系统的看了下细说php,补了下语法知识,感觉看代码顺畅多了。
开个这么久的分类终于开始上文章啦! 至于python版块... 再说吧..
说是cms,其实只是个同学写的小源码,不过作为初学者当做练习还是不错的。
ps:源码是从a5上下载的,传送门

首先看到core/global.func.php的一个函数

源码1.png

有戏,测试一下

测试1.png

阅读全文»

SSCTF-Writeup-合集

作者: 分类: CTF 时间: 2016-02-29 浏览: 3070 评论: 暂无评论

感觉这次web好难 感谢各路大牛的助攻
去实验室和学长们一起讨论 感觉还是很high的
讲道理还是要写一波wp

0x01 web100-upupup!

就是一个上传的页面

常规的改文件名 和 固定后缀

看标题 应该是大写某个东西绕过

试过 爆破文件名后缀 各种大小写配合 无果

最后

阅读全文»

SharifCTF-Web100-Writeup

作者: 分类: CTF 时间: 2016-02-07 浏览: 1749 评论: 暂无评论

打开页面说要留一个回复 应该是xss了

web11.png

去xss平台找个了个代码 打过去 收到cookie

web12.png

等cookie的时候猜页面 发现了 login.php 和admin.php

阅读全文»