该文被密码保护。 阅读全文

该文被密码保护。 阅读全文

摘要： 由于朋友在看这套cms，然后叫我一起看看，分析下思路，在此过程中发现的问题。版本为最新版 v1.4.6，好像也通杀下面几个版本，未验证。 阅读全文

摘要： 今天朋友遇到一个ThinkPHP5 _method 的RCE漏洞，环境是：tp5014开启debug，linux，PHP7，日志，Session都写不进去，没办法包含的情况。 思路就是使用反序列化，回调 unserialize 函数，是可以成功利用的。如图： 差不多就是这样，为了难得去写其他版本的p 阅读全文

摘要： 测试demo： <html> <body> <form action="" method="post" enctype="multipart/form-data"> <label for="file">Filename:</label> <input type="file" name="file"/ 阅读全文

摘要： 漏洞详情： 漏洞文件：./ThinkPHP\Library\Think\Db\Driver.class.php 中的 parseOrder方法： 这也是继上次order方法注入之后的修复手段。 可以看到首先判断是否存在ASC或DESC，正是因为这判断，导致了我们可以引入 ( 等禁止的字符，所以导致了 阅读全文

摘要： 不存在逗号的情况： 联合查询： 1.UNION SELECT * FROM ((SELECT 1)a JOIN (SELECT 2)b JOIN (SELECT 3)c JOIN (SELECT 4)d JOIN (SELECT 5)e) 盲注： 1.select user,password fro 阅读全文

该文被密码保护。 阅读全文

摘要： 前置知识： 登录名：登录sql server服务器的用户，而不是操作“数据库用户名”。 固定服务器角色：就是上面登录名所属的权限组。其中重要的就是“sysadmin”角色，具有服务器的全部操作权限 数据库用户：操作数据库的用户名，和登录名关联。例如：“dbo用户名” 关联 “sa登录名”，所以当执行 阅读全文

摘要： 漏洞demo： public function inc() { $username = request()->get('name/a'); db('user')->insert(['name' => $username]); return 'Update success'; } 首先看TP的数据获取 阅读全文