摘要:叛军框架:先进和易于使用的渗透测试框架 REBEL-FRAMEWORK 先进、易用的渗透测试框架 模块├ ├net/iface➤接口信息。 ├net/map➤主机扫描生活在局域网。 ├net/scan➤扫描(港口、操作系统等)的IP。 ├net/vuln➤扫描常见的漏洞。 ├net/sniff➤未加 阅读全文
URL跳转与webview安全浅谈
2018-12-20 16:21 by 网络信息安全技术, 1655 阅读, 0 推荐, 收藏, 编辑
摘要:URL跳转与webview安全浅谈 我博客的两篇文章拼接在一起所以可能看起来有些乱 起因 在一次测试中我用burpsuite搜索了关键词url找到了某处url我测试了一下发现waf拦截了指向外域的请求,那么开始尝试绕过。所以有了这次的文章 经过 第一个我测试的url是https://mall.m.x 阅读全文
https://bbs.ichunqiu.com/thread-48915-1-1.html
2018-12-20 15:34 by 网络信息安全技术, 1914 阅读, 0 推荐, 收藏, 编辑
摘要:使用BurpSuite进行双文件上传拿Webshell 首先进入网站后台:(后台界面应该是良精CMS)<ignore_js_op> 在 添加产品 这一栏有个上传文件:<ignore_js_op> 选择一个*.jpg格式的图片进行上传,然后BurpSuite进行抓包:<ignore_js_op> 然后 阅读全文
如何利用GitHub搜索敏感信息
2018-12-20 15:05 by 网络信息安全技术, 1544 阅读, 0 推荐, 收藏, 编辑
摘要:如何利用GitHub搜索敏感信息 背景: 最近总是能听到同事说在GitHub上搜到某个敏感信息,然后利用该信息成功的检测并发现某个漏洞,最后提交到对应的SRC(安全应急响应中心)换点money。顿时心里那个羡慕啊,然后就心说自己也要学会使用GitHub这个宝藏。 开始: 众所周知,作为安全人员,学会 阅读全文
PHP7CMS 无条件前台GETSHELL
2018-12-20 15:03 by 网络信息安全技术, 580 阅读, 0 推荐, 收藏, 编辑
摘要:Version:2018-10-09 //最新版中以修复此漏洞 这个漏洞很简单,如果作者在写代码的时候考虑到一点点安全方面,其实都可以避免的。 01 02 03 04 05 06 07 08 09 10 11 12 // php7cms/Core/Controllers/Api/Api.php // 阅读全文
S-CMS企建v3二次SQL注入
2018-12-20 14:59 by 网络信息安全技术, 813 阅读, 0 推荐, 收藏, 编辑
摘要:S-CMS企建v3二次SQL注入 0x01 前言 继上一篇的S-CMS漏洞再来一波!首发T00ls 0x2 目录 Sql注入二次SQL注入 0x03 Sql注入 漏洞文件:\scms\bbs\bbs.php 相对来说这个注入比较简单,$B_sort 无过滤直接从POST获取,然而在SELECT查询的 阅读全文
浅析PHP正则表达式的利用技巧
2018-12-20 14:56 by 网络信息安全技术, 722 阅读, 0 推荐, 收藏, 编辑
摘要:浅析PHP正则表达式的利用技巧 正则表达式是什么 正则表达式(regular expression)描述了一种字符串匹配的模式(pattern),可以用来检查一个串是否含有某种子串、 将匹配的子串替换或者从某个串中取出符合某个条件的子串等。包括普通字符(例如,a 到 z 之间的字母)和特殊字符(称为 阅读全文
密码朋克的社会实验(一):开灯看暗网
2018-12-20 14:51 by 网络信息安全技术, 520 阅读, 0 推荐, 收藏, 编辑
摘要:密码朋克的社会实验(一):开灯看暗网 本文作者:karmayu、murphyzhang @云鼎实验室 ……2018年3月8日,某视频网站800余万用户数据在暗网销售2018年8月1日,某省1000万学籍数据出现在暗网2018年8月28日,某酒店集团5亿数据疑似在暗网出售…… 本年度最严重的几次数据泄 阅读全文
ThinkPHP5框架缺陷导致远程命令执行(POC整合帖)
2018-12-14 11:26 by 网络信息安全技术, 3462 阅读, 1 推荐, 收藏, 编辑
摘要:摘要 近日thinkphp团队发布了版本更新https://blog.thinkphp.cn/869075 ,其中修复了一处getshell漏洞。 影响范围 5.x < 5.1.31<= 5.0.23 危害 远程代码执行 漏洞分析 以下漏洞分析源于斗鱼SRC公众号:斗鱼安全应急响应中心分析补丁:80 阅读全文
SQL基本注入演示
2018-12-14 11:25 by 网络信息安全技术, 705 阅读, 0 推荐, 收藏, 编辑
摘要:作者:ZERO 所属团队:Arctic Shell 参考文献:《sql注入攻击与防御》 使用平台:pikachu漏洞练习平台 导语: 在owasp发布的top10排行榜中注入漏洞一直是危害排名极高的漏洞,数据库注入一直是web中一个令人头疼的问题。 一个严重的SQL注入漏洞,可能会直接导致一家公司破 阅读全文