x

扫码登录

登录二维码

你尚未登录

未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。

phith0n

2017 三月 06
@S4b0r: 黑盒测试出一个执行代码漏洞,ger参数:phpinfo() 可以直接回显。eval($_POST[xxx] ) 无效 linux系统不存在安全狗 抓包看了下http 没有显示aliyun jiasule 之类的值。个人猜测应该没有waf 应该是函数执行过滤了什么。 如何突破,各位表哥。

遇到这种情况,最好的就是一点点排除,看WAF究竟拦截的什么关键字。我会先?e=eval,如果不拦截我...

phith0n

2017 二月 24
@水头久久久电脑: P牛,能给几个intval绕过的案例吗?我只找到那个cmseasy的例子

不太懂你...

phith0n

2017 二月 06
@下辈子想做头猪: 请问joomla的phpmailer远程命令执行您有重现过吗?Security Announcements

phith0n

2017 二月 05
@wonderkun: phithon师父,我有个东西不明白:
$_GET[a]($_POST[b])
当传入a=assert 就是后门
当a=eval就是报错说eval不是函数。
难道eval真不是函数,是一个语句,像echo一样?

...

phith0n

2016 十二月 10
@路人甲: 求推荐几个技术的小密圈啊

我就加了3个圈子,你们自己根据自己的能力量力而行
猪猪侠的圈子,只...