五月份文章收藏

最后更新:2018年06月02日11:49:30

代码审计:

  一次thinkphp挖矿cms的失败代码审计

[【转载】] ThinkPHP5 SQL注入漏洞

ThinkPHP 5.0.10-3.2.3 缓存函数设计缺陷可导致 Getshell (评论区也有干货)

ThinkPHP框架 5.0.x sql注入漏洞分析 

Thinkphp3.2.3最新版update注入漏洞 

齐博cmsv7.0后台getshell 
Z-Blog两处Getshell分析(附EXP)(CVE-2018-8893、CVE-2018-9169、CVE-2018-9153) 

PHP trick(代码审计关注点) 

PHP反序列化漏洞与Webshell 
某商城文件上传漏洞与SQL注入漏洞 
Thinkphp5X设计缺陷导致泄漏数据库账户密码 

 

t00ls代码审计文章(只收藏链接):

[【原创】] Metinfo任意文件读取+SQL注入漏洞分析

[【原创】] 简单的代码审计流程

[【原创】] 关于重装漏洞之单引号包裹配置文件写shell了解一下

[【原创】] MIPCMS 远程写入配置文件Getshell

 

 

逻辑漏洞思路文章:

[【奇技淫巧】] [思路]密码重置另外一种代码逻辑缺陷 

 

 

免杀文章:

构造免杀的asp一句话木马   (https://github.com/LandGrey/webshell-detect-bypass

php一句话木马检测绕过研究 

 

注入:

mysql 延时注入新思路 

基于约束的SQL攻击

 

MysqlUDF:

Mysql UDF BackDoor

利用MySQL UDF进行的一次渗透测试

 

--technique   测试指定注入类型\使用的技术

不加参数默认测试所有注入技术
     B: 基于布尔的SQL 盲注
     E: 基于显错sql 注入
     U: 基于UNION 注入
     S: 叠层sql 注入
     T: 基于时间盲注 

--flush-session     刷新当前目标的会话文件 

--fresh-queries     忽略在会话文件中存储的查询结果

 

 


其它:
从phpinfo到phpmyadmin的综合渗透利用 

 

posted @ 2018-05-30 11:09  ihoneysec  阅读(381)  评论(0编辑  收藏  举报