python武器库
文章平均质量分 88
乐队1
这个作者很懒,什么都没留下…
展开
-
通天星CMSV6车载监控平台CompanyList信息泄露漏洞
通天星CMSV6车载视频监控平台是东莞市通天星软件科技有限公司研发的监控平台,通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。通天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交通视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。原创 2024-06-29 13:01:59 · 558 阅读 · 0 评论 -
Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞环境
Joomla是一个基于PHP的内容管理系统(CMS),广泛应用于各类网站。2017年,Joomla 3.7.0版本被发现存在SQL注入漏洞(CVE-2017-8917),攻击者可以利用该漏洞对数据库进行未授权查询或操作,可能导致数据泄露、篡改甚至删除。原创 2024-05-17 09:28:04 · 622 阅读 · 0 评论 -
Discuz 7.x/6.x 全局变量防御绕过导致代码执行
在Discuz!7.x/6.x版本中,存在一个由于全局变量防御被绕过而导致的代码执行漏洞。这个漏洞的产生与PHP的配置参数和有关。当开启时,PHP会将来自GET、POST、COOKIE等外部输入的数据直接注册为全局变量。而在PHP 5.3.x版本中,配置默认为GP(即Get和Post),这意味着Cookie中的数据并不会被自动注册为全局变量。然而,在Discuz!7.x/6.x中,由于某些原因,攻击者可以在Cookie中设置带有恶意代码的GLOBALS变量,从而绕过全局变量防御,实现代码执行。原创 2024-05-16 14:32:01 · 431 阅读 · 0 评论 -
Weblogic SSRF
SSRF漏洞通常是由于服务端提供了从其他服务器应用获取数据的功能,并且没有对目标地址进行过滤与限制。攻击者可以利用这个漏洞,通过篡改获取资源的请求发送给服务器,服务器在没有发现这个请求是非法的情况下,会以自身的身份去访问其他服务器的资源。原创 2024-05-15 13:39:14 · 1149 阅读 · 0 评论 -
Weblogic 管理控制台未授权远程命令执行漏洞(CVE-2020-14882,CVE-2020-14883)
Weblogic Pre-Auth Remote Command Execution 漏洞(CVE-2020-14882, CVE-2020-14883)是针对 Oracle WebLogic Server 的两个安全漏洞。CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证,而 CVE-2020-14883 则允许经过身份验证的用户在管理员控制台组件上执行任意命令。原创 2024-05-14 10:45:34 · 1158 阅读 · 0 评论 -
Weblogic 任意文件上传漏洞(CVE-2018-2894)
CVE-2018-2894漏洞存在于Oracle WebLogic Server的Web服务测试页面(Web Service Test Page)中。这个页面允许用户测试Web服务的功能,但在某些版本中,它包含了一个未经授权的文件上传功能。攻击者可以利用这个漏洞,上传恶意的JSP或其他可执行文件,并在服务器上执行这些文件,从而获得服务器的完全控制权。受影响的WebLogic Server版本包括10.3.6.0、12.1.3.0、12.2.1.2和12.2.1.3。漏洞影响的页面路径为和。原创 2024-05-13 17:41:01 · 1346 阅读 · 0 评论 -
Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
CVE-2018-2628 是 Oracle WebLogic Server(WLS)核心组件中的一个反序列化命令执行漏洞。此漏洞允许未授权的用户通过 T3 协议在远程服务器上执行任意命令,从而可能完全控制受影响的服务器。原创 2024-05-13 15:12:35 · 1299 阅读 · 2 评论 -
Weblogic < 10.3.6 ‘wls-wsat‘ XMLDecoder 反序列化漏洞(CVE-2017-10271)
CVE-2017-10271 是一个存在于 Oracle WebLogic Server 10.3.6 以下版本中的 XMLDecoder 反序列化漏洞。此漏洞源于 WebLogic 的 WLS-WebServices 核心组件,该组件使用 XMLDecoder 来解析用户传入的 XML 数据。由于 XMLDecoder 在处理某些特定格式的 XML 数据时存在反序列化漏洞,攻击者可以构造恶意的 XML 数据来触发该漏洞,从而执行任意命令,获取服务器权限。原创 2024-05-13 09:41:05 · 1135 阅读 · 0 评论 -
Tomcat7+ 弱口令 && 后台getshell漏洞
Tomcat 是一个流行的开源Web应用服务器,用于部署和运行Java Web应用程序。Tomcat 7+ 版本中存在一个安全隐患,即默认的管理员密码可能较弱或者未被修改,攻击者可以利用这一漏洞登录到Tomcat的管理后台,并上传恶意的WAR包来执行任意代码。原创 2024-05-11 11:09:50 · 1101 阅读 · 1 评论 -
Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)
CVE-2020-1938 是 Apache Tomcat 中的一个严重安全漏洞,该漏洞涉及到 Tomcat 的 AJP(Apache JServ Protocol)连接器。由于 AJP 协议在处理请求时存在缺陷,攻击者可以利用此漏洞读取服务器上的任意文件,甚至可能进一步实现远程代码执行。原创 2024-05-10 21:36:12 · 782 阅读 · 0 评论 -
Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)
在Apache Tomcat服务器中,PUT方法通常用于上传文件。攻击者可以通过发送PUT请求,将恶意文件上传到服务器。当攻击者发送PUT请求时,Tomcat服务器会将请求中的数据写入指定的文件。如果攻击者能够控制文件路径,那么他们可以将恶意文件写入任意位置,从而实现任意文件写入。原创 2024-05-02 13:31:38 · 1396 阅读 · 1 评论 -
ThinkPHP Lang多语言本地文件包含漏洞(QVD-2022-46174)漏洞复现
ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当ThinkPHP开启了多语言功能时,攻击者可以通过lang参数和目录穿越实现文件包含,当存在其他扩展模块如 pear 扩展时,攻击者可进一步利用文件包含实现远程代码执行。影响版本。原创 2024-04-27 18:21:26 · 678 阅读 · 3 评论 -
ThinkPHP5 SQL注入漏洞&&敏感信息泄露漏洞
ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(<5.1.23)中,开启debug模式,传入的某参数在绑定编译指令的时候又没有安全处理,预编译的时候导致SQL异常报错。然而thinkphp5默认开启debug模式,在漏洞环境下构造错误的SQL语法会泄漏数据库账户和密码。原创 2024-04-27 15:40:54 · 835 阅读 · 4 评论 -
thinkphp2-rce远程代码执行漏洞
ThinkPHP 2.x版本中,使用的/e模式匹配路由:导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞,也存在这个漏洞。原创 2024-04-27 14:44:00 · 446 阅读 · 0 评论 -
thinkphp5 5.0.22/5.1.29远程代码执行漏洞
ThinkPHP是中国使用极为广泛的PHP开发框架。在其版本 5 中,由于框架错误地处理了控制器名称,如果网站未启用强制路由(默认),它可以执行任何方法,从而导致 RCE 漏洞。原创 2024-04-27 09:50:52 · 1071 阅读 · 1 评论 -
thinkphp5.0.23漏洞复现以及脚本编写
ThinkPHP5.0.23漏洞主要涉及远程代码执行(RCE)的安全隐患。这一漏洞的存在是因为ThinkPHP框架在底层对控制器名的过滤不够严格,导致攻击者有可能通过特定的URL构造,调用到框架内部的敏感函数,进而执行任意命令。原创 2024-04-26 15:43:37 · 1012 阅读 · 0 评论 -
python爬虫6
BeautifulSoup 是一个用于解析HTML和XML文档的Python库。它提供了一种灵活和便捷的方式来导航、搜索和修改解析树。BeautifulSoup简化了网络爬虫的工作,使得开发者可以轻松地解析网页内容,提取所需的数据。原创 2024-04-25 21:12:16 · 948 阅读 · 0 评论 -
python爬虫之xpath4
XPath是一种在XML或HTML文档中查找信息的强大语言,通过简洁的路径表达式和丰富的内置函数,能够精确定位并提取文档中的特定节点或内容。而HTML解析器的原理则在于将HTML文档转化为易于程序操作的DOM树形结构,通过词法分析和语法分析将文档分解为标记并组合成节点,最终构建出完整的DOM树,从而实现对HTML内容的解析和提取。原创 2024-04-24 21:29:01 · 888 阅读 · 3 评论 -
python3爬虫笔记2
httpx模块是Python 3的一个全功能HTTP客户端,它提供了同步和异步API,并支持HTTP/1.1和HTTP/2。该模块建立在requests库的完善可用性之上,不仅继承了requests的大部分功能,而且比后者更加强大和灵活模块安装支持http2.0还需要按照2.0的支持新建httpx_test.pyWin64;data={效果。原创 2024-04-22 21:22:07 · 1111 阅读 · 1 评论 -
python爬虫笔记1
urllib是 Python 标准库中的一个模块,用于执行 HTTP 请求操作。模块:这是最基本的 HTTP 请求模块,它提供了打开和读取 URL 的功能。使用此模块,你可以发起 GET 和 POST 请求,处理 cookies 和重定向,以及设置请求头部等。模块:这个模块用于处理与相关的异常。当你使用发起请求时,如果遇到错误(如网络问题、无效的 URL 或服务器错误),该模块会抛出相应的异常,以便你能够捕获并处理这些错误。模块:这是一个工具模块,提供了处理 URL 的方法。原创 2024-04-21 16:04:30 · 1435 阅读 · 1 评论 -
python操作数据库
SQLAlchemy 安装 pip install SQLAlchemy 优点: 易用 损耗小 可移植性强。原创 2024-04-20 20:07:29 · 1047 阅读 · 0 评论 -
javascript笔记
BOM(Browser Object Model) 是浏览器对象模型的缩写,它提供了与浏览器窗口进行交互的对象和接口。通过 BOM,我们可以控制浏览器窗口和框架,以及导航等。尽管现在更多的前端交互依赖于 DOM (Document Object Model) 和一些新的 Web API,但 BOM 仍然是基础中的基础,特别是在处理窗口大小、滚动位置、浏览器导航等方面。window对象它是 BOM 的顶层对象,所有全局 JavaScript 对象、函数和变量自动成为window对象的成员。原创 2024-04-17 16:02:34 · 899 阅读 · 0 评论 -
css样式笔记
Cascading Style Sheets(层叠样式表)是用于描述HTML或XML等文件样式的计算机语言。它可以静态修饰网页,也能配合脚本语言动态格式化网页元素。原创 2024-04-17 11:27:06 · 734 阅读 · 0 评论 -
python之flask安装以及使用
Flask是一个非常小的Python Web框架,被称为微型框架;只提供了一个稳健的核心,其他功能全部是通过扩展实现的;意思就是我们可以根据项目的需要量身定制,也意味着我们需要学习各种扩展库的使用。原创 2024-04-16 18:46:24 · 3023 阅读 · 0 评论 -
暴力破解密码自动阻断
re模块是 Python 中用于正则表达式操作的模块。正则表达式(Regular Expression)是一种强大的文本处理工具,它使用一种特殊的字符序列来表示字符串中的模式,并可以通过模式匹配、查找、替换等操作对文本进行高效处理。原创 2024-04-15 22:12:03 · 959 阅读 · 0 评论 -
centos7上安装python3.10
使用yum程序安装所需依赖。打开终端并运行以下命令:这些依赖项是编译和安装Python 3.10所必需的。使用wget命令从Python官方网站下载Python 3.10的源代码。原创 2024-04-15 21:33:43 · 1270 阅读 · 0 评论 -
python3高级特性
装饰器是 Python 的一种高阶函数,它可以在不修改函数内部代码的情况下,给函数增加额外的功能。案例:记录函数执行时间的装饰器import time def timing_decorator(func): def wrapper(*args, **kwargs): start_time = time.time() result = func(*args, **kwargs) end_time = time.time()原创 2024-04-14 16:18:09 · 578 阅读 · 0 评论 -
python3面向对象
面向对象编程(OOP)是一种编程范式,它以“对象”为核心,将数据和操作封装在对象中,通过类和对象来实现代码的组织和复用。在Python3中,面向对象编程是其重要的特性之一。原创 2024-04-13 21:43:57 · 612 阅读 · 0 评论 -
python基础
编程语言中为了能够更好的处理数据,都需要使用一些变量。变量基本上就是代表(或是引用某值的名字)。Python语言的变量可以是各种不同的数据类型,使用变量的时候不需要声明,Python解释器会自动判断数据类型。使用type(变量)可以查看该变量的类型。Python中定义函数使用def关键字,后跟函数名和括号内的参数列表,最后以冒号结束。函数体是缩进的代码块,通常包含实现特定功能的语句。编程语言中为了能够更好的处理数据,都需要使用一些变量。变量基本上就是代表(或是引用某值的名字)。原创 2024-04-13 18:45:01 · 1000 阅读 · 0 评论