摘要:
复现环境: Windows 7 x64 复现程序: Office 2016 Excel Office 2013 Excel 影响程序: 全版本 参考文章: https://mp.weixin.qq.com/s/KVpO02KJWE6OVZDb0ungOA https://outflank.nl/bl 阅读全文
摘要:
今天看到t00ls某版主发出的一个帖子,说一秒爆十万密码。 原理: 其原理就是apache和iis可以多参数提交,apache最多同时提交1000个参数,而iis据说可以提交5883个参数,那么就可以批量提交千个参数去判断哪个是一句话的密码,效率就比一个一个参数提交提高了千倍! 操作: 输入正常密码 阅读全文
摘要:
1、首先通过web扫描,扫描到后台 发现所用的网站程序,然后到百度去搜漏洞,发现没有这个版本的。 但找到了这个版本的源码,于是下载下来准备自己找找漏洞。 2、我们随便找一个文件看看相关代码 发现传递进来的参数都被处理了 IsNumeric 判断是否为数字 这个没办法绕过的。下一处把。 3、发现这里有 阅读全文