ღ Miranda

使用grep和awk命令审计php代码

grep是命令行文本搜索工具,默认安装在Unix派生的系统下,windows也能安装,awk命令是通用的编程语言,处理文件或数据流中的数据,默认安装在Unix派生的系统下,windows也能安装。

参考http://man.linuxde.net

grep

grep是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。

选项

我们在文件夹中递归搜索时使用-r-n参数,用正则匹配要搜索的字符串。

比如要搜索74qucms这个web应用中的sql注入漏洞,就可以这么搜索,这条命令用于搜索直接将get或post参数拼接到sql语句中的语句,运气好可以直接发现注入漏洞:

可能返回这样的结果:

如果在查询语句中搜索到的变量为$sql,可以用如下语句搜索$sql变量的具体值:

结果就像这样:


awk

awk是一种编程语言,用于在linux/unix下对文本和数据进行处理。它支持用户自定义函数和动态正则表达式等先进功能,是linux/unix下的一个强大编程工具。

选项

变量

使用

会打印:

我们可以对grep的结果做优化:

-F:指定了分隔符为:,这条语句输出应该像这样:

发表评论

电子邮件地址不会被公开。