漏洞复现
文章平均质量分 81
kracer127
要一直努力呢!
展开
-
CFW最新XSS漏洞,可远程执行代码控制电脑
0x01 简介1.CFW是什么使用过机场的朋友应该都听过clash_for_windows,一款便于用户可视化操作和使用的软件。2月23日,网友@Anthem-whisper通过github Issues向CFW作者提交了可导致远程代码执行的XSS漏洞。由于使用人数多,恶意利用该漏洞可导致被害者电脑植入木马病毒被远程控制,危害巨大。本文章用的是0.19.8版本,做简单的漏洞复现演示其危害,希望大家能赶快更新到最新版本免受被入侵。2.漏洞产生原因:...原创 2022-03-01 09:38:59 · 3362 阅读 · 0 评论 -
SSTI漏洞初手入门
0x01 什么是SSTISSTI,即服务器端模板注入(Server-Side Template Injection)。攻击者在服务器输入语句,服务端将其作为Web应用模板内容的一部分,在进行目标编译渲染的过程中,进行了语句的拼接,执行了所插入的恶意内容,从而导致信息泄露、代码执行、GetShell等问题。补充:1)模板引擎是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的文档,就是将模板文件和数据通过...原创 2022-01-08 20:12:51 · 1013 阅读 · 0 评论 -
最全phpmyadmin漏洞汇总
目录一、phpMyAdmin简介二、查看phpmyadmin版本三、历史漏洞及poc利用1、万能密码直接登入2、CVE-2009-1151:远程代码执行3、CVE-2012-5159:任意PHP代码攻击4、CVE-2013-3238:远程PHP代码执行5、WooYun-2016-199433:任意文件读取漏洞6、CVE-2014 -8959:本地文件包含7、CVE-2016-5734 :后台命令执行RCE8、CVE-2017-1000499 跨站请求伪造9、C原创 2021-12-04 12:43:28 · 34401 阅读 · 2 评论