您当前位置: 首页 » 代码审计 » 漏洞演示程序ZVulDrill漏洞分析

漏洞演示程序ZVulDrill漏洞分析

2017年1月22日 | 发表评论(0) 查看评论

一套比较简单的留言板漏洞演示程序,包含SQL注入,XSS,CSRF,文件上传等常见的Web漏洞,很便于小白理解漏洞的原理与形成原因。

ZVulDrill下载地址:https://github.com/710leo/ZVulDrill

  • Lfi(本地文件包含)

    $f存在任意文件包含漏洞,在php>=5.2且allow_url_include为on的时候,可以用php://来getshell,看我之前的文章。
  • 搜索框注入在search.php中发现

    PAYLOAD:http://www.am0s.com/sjjc/search.php?search=1%%27%20union%20select%201,2,user(),4%23
  • 后台登录框注入在/admin/logCheckphp中

    可使用盲注,也可直接利用万能密码登录
  • 上传updateAvatar.php中

    没判断格式 直接上传

    此外还存在越权、xss等

分类:

代码审计

| 标签: