前言:
最近除了正常审代码以外,还研究了路由器以及简单学了下二进制相关的知识点,运气还行,看了2套路由器代码,都审到了0。
等后面脱敏了以及漏洞爆出来后在把漏洞分析放出来。
一个涉及11w资产量一个涉及1w余
正文:
基础使用:
分析net程序的时候 可能会遇到这样的困扰。
net没有很成熟的分析调用关系以及路由关系分析的工具。
但是其实可以实现这种效果,简单调用dinlib即可实现
如这里以某一卡通系统为例
执行完后
获取具体类名:
类里面的及具体方法:
方法与方法之间的调用关系:
联动使用:
①快速获取路由:
利用获取到的结果快速联动审计
如快速获取api路由
简单写个python脚本,txt转csv文件
然后进行下替换即可
即可得到如下结果
在替换为/即可得到完整的路由
然后fuzz即可 快速得到前台的路由
②快速生成调用关系
这里的篇幅就不写了,调用neo4j进行生成调用关系。
最后的结果差不多这个鬼样子,这个生成调用的 等后面完整优化完后再丢星球里面去。
后文:
工具丢星球了,感兴趣的自己加。
原文始发于微信公众号(goddemon的小屋):NET系统快速分析路由以及调用关系