你尚未登录

未加入『代码审计』知识星球的用户只能查看少量内容,且不能下载附件。 加入『代码审计』知识星球即可查看所有内容。

2017 三月 06
@S4b0r:

黑盒测试出一个执行代码漏洞,ger参数:phpinfo() 可以直接回显。eval($_POST[xxx] ) 无效 linux系统不存在安全狗 抓包看了下http 没有显示aliyun jiasule 之类的值。个人猜测应该没有waf 应该是函数执行过滤了什么。 如何突破,各位表哥。

遇到这种情况,最好的就是一点点排除,看WAF究竟拦截的什么关键字。我会先?e=eval,如果不拦截我...

key

2017 三月 05
看到一个思路,个人感觉局限性还是有点大 移位溢注:告别靠人...

图片


2017 三月 04
看了下师傅们之前讨...
2017 三月 04
等到500人就涨价了...
2017 三月 03
Bypass技巧(一):...
2017 三月 03
#奇技淫巧# XXE攻击中使用UTF-16绕过关键字检测(WAF) 提示信息 - ...
2017 三月 03
source insight 确实是代码审计的神器,最新的4.0版本...

附件


# 附件名 大小 时间 操作
sourceinsight_4082.zip 19.9 MB 03/03/2017
2017 三月 02
今天遇到个问题,select xxx from xxx where id =$a 。其中$a可控,但...
2017 三月 02
source Insight...