某通用系统0day审计过程

文章预览

扫码领资料 获网安教程 文章来源: https: //forum.butian.net/share/2873 某通用系统0day审计过程 前言 本篇文章首发在先知社区 作者Zjacky(本人) 先知社区名称:  Zjacky  转载原文链接为https://xz.aliyun.com/t/13866 代码审计篇章都是自己跟几个师傅们一起审计的1day或者0day(当然都是小公司较为简单)，禁止未经允许进行转载，发布到博客的用意主要是想跟师傅们能够交流下审计的思路，毕竟审计的思路也是有说法的，或者是相互源码共享也OK，本次审计的目标是一套也是各大高校使用的通用系统，已经提交相关SRC平台进行修复 路由分析 直接看登录接口 路由为 /setting.php/index/login ‍ 找对应源码 第一个接口setting对应Application下的文件 第二个接口Index对应Setting下的Controller文件名字 第三个接口为Controller的方法名字 ‍ 代码审计 上传 Application\Admin\Controller\UploadController.clas ………………………………