![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
网络安全
文章平均质量分 75
风炫
这个作者很懒,什么都没留下…
展开
-
Discuz!后台密码穷举工具 无视IP验证
自己写了一个Discuz后台密码穷举工具,无视IP验证,配合社工库和弱口令字典。拿去看看吧<?php/** Author : fengxuan Date : 2014-11-25 */class FuckDiscuz{ public $userfile; public $passfile; public $outfile; public $url; public原创 2015-01-29 12:52:55 · 6337 阅读 · 0 评论 -
momocms代码审计
无聊时看了站长之家上有个程序挺火的,下载下来看了下。前端的$_GET都是用intval()函数过滤了,没有什么可利用的。后台有一处xss在admin\create_sub_product.php的第96行"> 二:上传漏洞在admin/banner_do.php 中代码如下require("./database.php");原创 2015-01-31 11:59:24 · 758 阅读 · 0 评论 -
dedecms5.7/install/index.php.bak getshell方法(亲测成功)
我是从安全参考上看到这一篇文章,作者:yaseng 。但是我自己亲自测试了一下,果然存在这个漏洞。给大家讲下,原文:Dedecms对于安装程序的处理方法就是重命名install.php+lock文件验证,改install.php 位install.php.bak但是在apache 对这类型文件会解析成php,即可以执行之,对于lock 文件验证,不是还有dedecms的全局转载 2015-01-30 17:29:33 · 7584 阅读 · 0 评论 -
Fckeditor <= 2.4.2 的任意文件上传漏洞代码解析
无聊,看了下fckeditor的漏洞,发现有网友已经提出Fckeditor 首先打开fckeditor\editor\filemanager\upload\php\config.php 配置fck。我配置的信息如下 你们可以自己修改<?php/* * FCKeditor - The text editor for Internet - http://www.fckeditor.原创 2015-02-20 14:51:28 · 2145 阅读 · 0 评论 -
自己写的xss利用工具
怎么说呢,我也用过xssme,感觉的确不错。还可以共享。但是我感觉就如果你自己一个人想使用,那些功能未免太过冗余。所以我写了个相当于xssme中默认模块的一个工具给大家看下。以生成文件为保存方式。大牛勿喷。window.onload = function () { var url = "http://127.0.0.1/test/js/jsbase/xss.php"; (fun原创 2015-02-20 10:02:40 · 1019 阅读 · 0 评论 -
RulingSite-S 系统漏洞 (台湾大学居多)
RulingSite-S是台湾省学校中使用比较广泛的一套cms,功能十分强(chou)大(lou)。页面简洁,布局清晰,后台操作便捷,简单上手—-、1.任意文件下载这个已经不新鲜了,在乌云平台也有人报告过了。代码采用ionCube加密,类似于zend。(解密呢也是相当费劲,因为我不会自己写工具,所以使用了网上流传的ionCube-decoder工具,这个工具需要注意的是只能在英文版系统下解转载 2015-06-24 22:12:55 · 3327 阅读 · 0 评论 -
PHP 5.x COM functions提权漏洞的利用分析
================================nbsp; PHP是英文“超级文本预处理语言”(Hypertext Preprocessor)的缩写,是一种HTML内嵌式的语言。它可以比CGI或者Perl更快速地执行动态网页。PHP具有非常强大的功能,所有的CGI或者JavaScript的功能,PHP都能实现,支持几乎所有流行的数据库以及操作系统。 近期功能如此强大、转载 2015-06-24 22:16:08 · 2167 阅读 · 0 评论