漏洞盒子是做什么的_对一次渗透测试FCKeditor编辑器漏洞讲解_手把手教网络安全教程

最新推荐文章于 2024-08-07 17:38:03 发布
最新推荐文章于 2024-08-07 17:38:03 发布
阅读量285 收藏 9
点赞数 3
文章标签: 端口 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saystan/article/details/140994786
版权

漏洞盒子是做什么的_对一次渗透测试FCKeditor编辑器漏洞讲解_手把手教网络安全教程

漏洞盒子是什么_漏洞盒子是做什么的_漏洞盒子

0x0介绍

即大名鼎鼎的,常见的文本编辑器还有\\\等;功能都类似,上传图片、视频、远程下载功能,由于减少了开发时间,所以安全漏洞很厉害。是一个开源的文字编辑器,适用于asp\php\jsp\aspx等网站,后改名.

0x01

前期信息收集

漏洞盒子是做什么的_漏洞盒子_漏洞盒子是什么

看出打开了很多端口,其中3306是mysql端口,还有个8080的http代理服务端口,可以从这里进去。

然后进去端口后发现什么都没有。

使用nikto -h :8080

爆出三个敏感地址,

漏洞盒子是什么_漏洞盒子是做什么的_漏洞盒子

很好,进去后发现,上传文件是不能够解释执行,这个地址没有。还要找其他目录,我是通过nikto查看到有相关.js配置信息,我才猜测有些目录是没有在配置信息里面。最后网上查询路径信息:

对于jsp版本:

漏洞盒子是做什么的_漏洞盒子_漏洞盒子是什么

爆出根目录,里面藏有很多敏信息,以及MYSQL的配置信息。还能通过sql工具进行外联。危险程度可想而知。处于“一个衣服都不穿的女人那样”。直接连接网页数据库:

漏洞盒子是做什么的_漏洞盒子是什么_漏洞盒子

防御建议:

对与此类的文本编辑器,对.js的配置信息要删除或隐藏,还有服务端口关掉 ,这些信息都会暴露了你的相关信息。本次漏洞与提交到漏洞盒子,有兴趣的朋友可以加入我们的团队未命名安全团队。

~

网络安全学习,我们一起交流

~

程序员六七
关注
【自研工具】漏洞盒子批量提交脚本
ssrf
02-16 3075
目录1、填写漏洞模板2、批量提交脚本 1、填写漏洞模板 2、批量提交脚本 开发原因:提交漏洞更方便,节省时间。 web_xpath.py web_bug = { '反射型XSS': '//*[@id="submitform"]/div[5]/div/div[2]/div/ul/ul[1]/li[2]/a', '存储型XSS': '//*[@id="submitform"]/div[5]/div/div[2]/div/ul/ul[1]/li[3]/a', '基于DOM型XSS':
渗透测试】--- FCKeditor文本编辑器漏洞
热门推荐
qq_43168364的博客
12-25 1万+
一、FCKeditor编辑器漏洞 FCKeditor编辑器是一款强大的所见即所得文本编辑器,现在已经更名为:CKEditor fckeditor的常见敏感目录(FCK有时要小写) (1) 查看版本信息 /FCKeditor/editor/dialog/fck_about.html /FCKeditor/_whatsnew.html (2) 默认上传页面 /FCKeditor/editor/filemanager/browser/default/browser.html /FCKeditor/edito
漏洞盒子/漏洞扫描-手把手黑客详细教程
程序员六七的博客
06-10 1480
漏洞背景:1.何为永恒之蓝?永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最...
漏洞盒子/Zabbix SQL注入漏洞分析_小白白帽子教程
2401_84915584的博客
06-23 242
zabbix sql注入漏洞爆出来已有好几天了,最近忙于安全盒子用户中心的设计,一直没有去研究这个注入,今天早起,闲暇时间写下该文。
漏洞盒子登陆/漏洞盒子什么的-0基础渗透教程
最新发布
程序员六七的博客
08-07 931
爆料称,数据泄露范围包括:官网注册资料约1.23亿条记录;入住登记身份信息约1.3亿条;酒店开房记录约2.4亿条。
解决方案-漏洞盒子-小白白帽子指南
程序员三九的博客
07-15 695
OWASP Top 10指的是针对当前的WEB应用来说,造成的威胁性最大的十大漏洞。在这篇文章接下来的内容。我们就以2013版本的OWASP为例子,为各位看客一一道来
fck漏洞源码_fckflash_fck_WEB安全_渗透_nan_
09-30
标题中的“fck漏洞源码_fckflash_fck_WEB安全_渗透_nan_”指的是与FCKeditor相关的安全问题。FCKeditor是一个流行的开源富文本编辑器,常用于网站内容管理系统中,允许用户在网页上编辑文本。然而,由于其源代码可能...
常用网页编辑器漏洞手册(全面版)fckeditor,ewebeditor
10-28
FCKeditor和EWebEditor是两种常见的网页编辑器,但它们也存在一些安全漏洞,这些漏洞可能会对网站造成严重威胁。下面我们将详细讨论这两个编辑器漏洞及其可能的影响。 首先,FCKeditor漏洞主要包括过滤不严的...
FCKeditor-2[1].3.rar_FCKeditor_2_6_1_fckeditor_java fckeditor
09-20
FCKeditor是一款开源的网页文本编辑器,广泛应用于网站内容管理、博客系统和其他需要富文本输入的场景。标题中的"FCKeditor-2[1].3.rar"表明这是一个关于FCKeditor 2.3版本的压缩包,而描述提到的是可以直接在...
fckeditor-java-demo-2.4.1.rar_DEMO_fckeditor_fckeditor demo_fcke
09-19
FCKeditor是一款著名的开源富文本编辑器,它为用户提供了一个类似Word的功能,使得在网页上进行文字编辑、格式调整、图像处理等操作变得轻而易举。FCKeditor Java Demo 2.4.1是其针对Java平台的一个示例应用,旨在...
漏洞怎么挖 | SRC上榜技巧
2301_80127209的博客
10-24 585
上方绿色打马赛克的那行是URL需要把那个复制下来放在浏览里,在URL后面打上英文的问号代表URL传参,然后把下方绿色的字体复制下来,粘贴的时候要注意把它原有的冒号换成问号。为什么这么说呢,因为上面的方法我都已经用过了,所以你们重复的概率会很多(但是我在第一次用这种方法的时候,重复率可以说是极低的)。批量挖掘漏洞的技巧,就是要从已知的漏洞当中提取那些漏洞的特征,在公网上批量搜索这些特征,之后放入某些可以批量验证的工具当中,或者手工测试。掌握了如何找到这些可疑的地方,下一步就是确认这些漏洞并且提交。
国内漏洞提交平台
jennycisp的博客
03-09 584
一、CNVD(国家信息安全漏洞共享平台)二、育SRC(漏洞报告平台)五、各大公司的专属漏洞平台。
2023最新SRC漏洞挖掘快速上手攻略!
zkaqlaoniao的博客
11-08 1288
制胜点就在这里了,比如你交了一个中危的漏洞是3分,但是你报告写的好,是优秀,积分翻倍变6分,相当于交了两个中危漏洞。我看很多人,漏洞正文只有文字 没有图片,很简陋,我们最好加上图片,审核员看的舒服一点,心情好点,对我们有好处。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。当初刚挖SRC,不会交报告,一股脑交了一大堆,全被打回来了,漏洞白挖 报告白写。我在上面的“提交报告”中,大家提交的报告,漏洞标题、基本信息、漏洞正文,这3个都算好,不用管。
网络安全】一个漏洞2w+,网安副业挖SRC漏洞,站着把钱挣了!
QIANDXX的博客
05-30 2329
网络安全接私活有多香!
src漏洞挖掘实战+资料分享
BlueSocks152的博客
05-23 687
src推荐新手挖洞首选漏洞盒子,因为漏洞盒子范围广,国内的站点都收。相比于其他src平台,挖掘漏洞很适合新手。 漏洞挖掘,信息收集很重要。 这里以部分实战展开讲解。 首先说一下谷歌语法吧 !!! 如下可通过fofa、钟馗之眼、shodan等网络空间搜索引擎搜索Google镜像。
2023年如何入门渗透测试
BlueSocks152的博客
03-11 318
转眼间,从大三开始学安全,到现在也有五年了,也算是对渗透测试有一定理解,公众号准备出一些入门教程,以实操为主,希望可以帮助到想入门渗透测试的小白。如果觉得有用,可以在文章后面支持一下我,作为我写下去的动力。渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估,与黑客攻击不一样的是,渗透测试的目的是尽可能多地发现安全漏洞,而真实黑客攻击只要发现一处入侵点即可以进入目标系统。一名优秀的渗透测试工程师也可以认为是一个厉害的黑客,也可以被称呼为白帽子。一定要注意的是,在进行渗透测试前,需要获得目标客
SRC漏洞提交平台和应急响应中心
芒果味葡萄
02-15 5789
SRC平台及应急响应中心 漏洞银行 https://www.bugbank.cn/ 漏洞盒子 https://www.vulbox.com/ i春秋SRC部落 https://www.ichunqiu.com/src 补天漏洞响应平台 https://butian.360.cn/ 腾讯安全应急响应中心 http://security.tencent.com/ 网易安全中心 http://aq.163.com/ 京东安全应急响应中心 http://security.jd.com/
实战挖掘一个某公司网站漏洞
我只会装360的博客
12-21 3317
作为一个资深安全菜鸟,主要是讲解常规挖洞的一个流程和思路,以找到的一个某公司sql注入为例,大佬轻喷 网上很多资料及博客都有讲解,通过搜索引擎寻找网站漏洞,实际上整个挖洞的过程基本上是撞大运,掏出谷歌,搜索inurl:php?id=,实际上搜索的都是php网站,然后一个个测试。。。作为一个菜鸡也只能这样了 往后面找,一个个测试 这个一看就可能存在sql诸如,开始测试,单引号,and1=1,an...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值