php代码审计（2）

- 日理万妓 2022-12-20 03:30 165阅读 0赞

这个语言怎么这么没有节操。。我感觉它是什么框架都有自己的特色，然后特色多起来自成一派加入新版本里去了就。框架还好几个。大杂烩啊。不愧是脚本语言。

今天发现我太蠢了，应该跟着web页面里业务逻辑一边看代码执行步骤。这种对我这种新人友好多了。我之前找不到具体函数目录。找到了语法不通又。。

今年真的是清清楚楚明明白白告诉我从基础最简单的开始，因为太不熟悉了。写代码的时候就为了完成输出没有思考过这些，更不要说审计他们了。还有语法和我往常接触的差别太大了。

我眼睛确实很瞎。。。。看目录瞅了半天 都没清楚什么目录干嘛的。。。可能和我编码不规范有关。

想peach想peach想peach

[https://www.jianshu.com/p/49949a564e73][https_www.jianshu.com_p_49949a564e73]

终于到sql注入绕过啦说明写这个cms的兄台10年前还是不错的。。。。

这么简单的两个函数还绕不过去么

foreach (array($_GET, $_POST) as $v)
    {
    	foreach ($v as $k1 => $v1)
    	{
    		$$k1 = filter($k1, $v1);
    	}
    }
    
    function filter($k, &$v)
    {
    	global $_CFG;
    	if (is_array($v))
    	{
    		foreach($v as $k1 => $v1)
    		{
    			filter($k1, $v1);
    		}
    	}
    	else
    	{
    		if ($_CFG['replace_word'] != '')
    		{
    			$new_v = preg_replace('/'.$_CFG['replace_word'].'/', '**', $v);
    		}
    	}
    	return $new_v;
    }
    
    function deep_addslashes($str)
    {
       if(is_array($str))
       {
          foreach($str as $key=>$val)
          {
             $str[$key] = deep_addslashes($val);
          }
       }
       else
       {
          $str = addslashes($str);
       }
       return $str;
    }

[https_www.jianshu.com_p_49949a564e73]: https://www.jianshu.com/p/49949a564e73

发表评论取消回复

表情：

评论列表（有 0 条评论，165人围观）

还没有评论，来说两句吧...

相关阅读

相关反射PHP_PHP代码审计之旅

前言：之前做了很多web题都遇到过审计代码的题目，命令执行、变量覆盖等。但如果这些代码是分布在一套源码中(如CMS)，需要我们去发现，去找到并会利用，就需要有一定的查找

妖狐艹你老母/ 2023年01月07日 08:46/ 0 赞/ 132 阅读

相关 php代码审计之phpcms

这个难度比上一个要难一点，起码代码审计工具没有扫描出来特别简单的漏洞。用来是因为我下载的是修复版本的。。。。不过继续审计啊！ 1.可能出现目录穿越的地方出现了正则表达式限定

ゞ浴缸里的玫瑰/ 2022年12月23日 15:24/ 0 赞/ 198 阅读

相关代码审计（2）

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3p1b3Np

「爱情、让人受尽委屈。」/ 2022年12月20日 08:44/ 0 赞/ 209 阅读

相关 php代码审计（2）

这个语言怎么这么没有节操。。我感觉它是什么框架都有自己的特色，然后特色多起来自成一派加入新版本里去了就。框架还好几个。大杂烩啊。不愧是脚本语言。今天发现我太蠢了，应该跟着w

- 日理万妓/ 2022年12月20日 03:30/ 0 赞/ 166 阅读

相关 php代码审计资料

[https://www.sec-wiki.com/news/search?wd=php%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1][https_

朴灿烈づ我的快乐病毒、/ 2022年12月20日 01:26/ 0 赞/ 161 阅读

相关 PHP代码审计基础知识

一，PHP核心配置 [代码审计学习思路][Link 1] 一·配置典型两个文件（配置目录的规则文件） php.ini（即仅在重启的时候可用） .user.in

Love The Way You Lie/ 2022年11月27日 10:10/ 0 赞/ 186 阅读

相关 PHP代码审计 XSS专题

一,XSS反射型漏洞 ①xss漏洞处 `基础` 1.变量的直接输出 <?php echo $_GET['xss']; ?> 如cs

Love The Way You Lie/ 2022年10月27日 13:47/ 0 赞/ 169 阅读

相关 php代码审计实战(一)

前言:这套漏洞好水,为什么审他呢？原因是虽然一直挖漏洞也用白盒摸出过不少洞,但是还没有彻彻底底的通审过一套系统所以就找了套简单的摸摸鱼源码:熊海CMS\_1.0

今天药忘吃喽~/ 2022年10月12日 14:59/ 0 赞/ 194 阅读

相关 php代码审计特殊漏洞

一.变量覆盖漏洞常见变量覆盖漏洞问题–>5个 1.$$ 2.extract()变量覆盖 3.parse_str()与mb_parse

叁歲伎倆/ 2022年09月11日 03:20/ 0 赞/ 196 阅读

相关 bugku-flag.php(代码审计)

题目地址：[http://123.206.87.240:8002/flagphp/][http_123.206.87.240_8002_flagphp] 首先注意他给的一个提

た入场券/ 2022年04月10日 04:49/ 0 赞/ 220 阅读