摘要:
当你在一个bash命令行中输入“*”时,bash会扩展到当前目录的所有文件,然后将他们全部作为参数传递给程序。例如:rm *,将会删除掉当前目录的所有文件。 0x01 文件名被当做参数 大多数的命令行程序受此影响。例如ls命令,当不适用任何参数时,输出是这个样子的: [stephen@superX 阅读全文
摘要:
一般的密码重置的设计都是分为以下四步的: 1.输入账户名 2.验证身份 3.重置密码 4.完成 通常漏洞是会存在于2或者3步骤中,下面来看看常见的一些重置密码漏洞的方式。 0x01 爆破类型 1 这种重置密码是最多见最容易出现的一类,那就是手机验证码爆破从而重置密码。 WooYun: 爱周游任意用户 阅读全文
摘要:
简要描述:简单通过Google搜索了一下,发现多个大小问题。详细说明:1、米聊官方论坛二次注入。http://www.discuz.net/thread-2354532-1-1.html打补丁。2、跨站脚本http://mi.xiaomi.com/%E6%96%B9%E8%B6%85x%3Cscri 阅读全文
摘要:
此木马是一个.NET程序制作,如果你的服务器支持.NET那就要注意了,,进入木马有个功能叫:IIS Spy,点击以后可以看到所有站点所在的物理路径。以前有很多人提出过,但一直没有人给解决的答案。。 防御方法: “%SystemRoot%/ServicePackFiles/i386/activeds. 阅读全文
摘要:
看是否有文件上传操作(POST方法), IPREMOVED--[01/Mar/2013:06:16:48-0600]"POST/uploads/monthly_10_2012/view.php HTTP/1.1"20036"-""Mozilla/5.0" IPREMOVED--[01/Mar/201 阅读全文