x

扫码登录

登录二维码

重要通知

受到银行渠道不可用的影响,我们会将2020年5月8号至2020年5月29号期间加入星球的同学暂时移出去,并退款。退款的费用大概是189元(三天内的全额退款),知识星球星球手续费没法退。

被退出的老用户仍然可以重新加入星球,只需联系小助手的微信(请备注一下自己的星球昵称):zhang_buchan。补发一下退款的金额即可(可以减免20元)。

从未加入星球的新用户,暂时无法加入星球,请等待我们重新开放。

phith0n

2017 四月 25
@陌小皓: p神,我想问一下刚接触php代码审计要不要自己先用PHP写一个网站了解一下呢?我是做java开发的

建议自己写一个,这样更熟悉相关代码架构。...

phith0n

2017 四月 25
@前尘如梦: 前辈你好,我是从你的博客跟到这里的,我也是尝试做PHP代码审计,有几个初学者的小问题,希望您能答疑解惑。
我平时做审计的时候,常用print_r($xxx);来查看参数的传递和处理结果,或者print_r(debug_backtracer);一点点回溯函数的调用,又或者全局搜索函数的调用。
这种方法很麻烦,而且大多时候白费力气。我想问有什么好的方法可以改善吗?例如有什么更好的办法可以确定程序执行流程,或者框架的结构

你在小密圈的ap...

phith0n

2017 四月 20
@xxx: 师傅,想问下审计python的静态分析工具有哪些呢

这个我没记过,但...

phith0n

2017 三月 14
@Destiny: p神,想问一下,在PHP代码审计中有没有什么方法能动态的调试我当前所访问的页面?也就是能否实现我访问什么功能就动态调试到响应的代码呢?

有。安装xdebug以后,就可...

phith0n

2017 三月 08
@路人甲: p神,想跟你提个建议,如果觉得建议不成熟,可以无视^_^ 总是看你们在圈子里讨论某个技术细节,但是说实话,我,包括很多圈子里的人,我估计都是看不懂的,要想提高圈子整体的水平,还是多发一些小众cms的整体审计思路文章,并给出思考过程,这样,我们就可以一步一步跟着大神的思路,去实践,去练习,练习的次数多了,也会对代码审计有更多的感悟

这个现象很...

phith0n

2017 三月 06
@S4b0r: 黑盒测试出一个执行代码漏洞,ger参数:phpinfo() 可以直接回显。eval($_POST[xxx] ) 无效 linux系统不存在安全狗 抓包看了下http 没有显示aliyun jiasule 之类的值。个人猜测应该没有waf 应该是函数执行过滤了什么。 如何突破,各位表哥。

遇到这种情况,最好的就是一点点排除,看WAF究竟拦截的什么关键字。我会先?e=eval,如果不拦截我...

phith0n

2017 二月 24
@水头久久久电脑: P牛,能给几个intval绕过的案例吗?我只找到那个cmseasy的例子

不太懂你...

phith0n

2017 二月 06
@下辈子想做头猪: 请问joomla的phpmailer远程命令执行您有重现过吗?Security Announcements

phith0n

2017 二月 05
@wonderkun: phithon师父,我有个东西不明白:
$_GET[a]($_POST[b])
当传入a=assert 就是后门
当a=eval就是报错说eval不是函数。
难道eval真不是函数,是一个语句,像echo一样?

...

phith0n

2016 十二月 10
@路人甲: 求推荐几个技术的小密圈啊

我就加了3个圈子,你们自己根据自己的能力量力而行
猪猪侠的圈子,只...