@highKer1年前

04/15
19:59
笔记

dvwa环境搭建

  • 安装apache

首先呢,我使用的是CentOS系统。现在在终端中输入如下指令:

yum install -y httpd

  • 安装MySQL与安装php

同理,输入以下代码,即可完成MySQL与php安装。

yum install -y mysql-devel mysql mysql-server

yum install -y php php-pdo php-mysql

Read More →

dvwa环境搭建

@highKer1年前

04/14
23:05
笔记

记第一次代码审计

今天第一次进行了php代码审计,这也是渗透测试中白盒测试的重要内容。

首先看参数uid、username、data,其中,只有前两项使用了intval函数,对传入的值进行了整型的格式化,但第三项并没有,直接以字符串的形式将data参数的值传入,而mysql_query函数并没有指定一个连接,所以该函数会自动在数据库中创建一个连接,并且缓存在服务器上,导致攻击者可以在查询语句后加入恶意代码,并在之后的mysql_fetch_array()语句中创建一个能查询到的数组将传入的值直接写入储存。

Read More →

记第一次代码审计