小迪安全笔记02-web源码扩展

最新推荐文章于 2023-06-28 09:47:13 发布
最新推荐文章于 2023-06-28 09:47:13 发布
阅读量3.8k 收藏 4
点赞数 7
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zerolea/article/details/123946475
版权

关于WEB源码目录结构
数据库配置文件,后台目录,模版目录,数据库目录等,admin网站后台 、data数据相关、member会员目录、install 安装目录、template 模板目录、Includes/con/config配置文件。


关于WEB源码脚本类型
ASP,PHP,ASPX,JSP,JAVAWEB等脚本类型源码安全问题


关于WEB源码应用分类
社交,论坛,门户,第三方,博客等不同的代码机制对应漏洞


关于WEB源码其他说明
开源,未开源问题,框架非框架问题,关于CMS识别问题及后续等
关于源码获取的相关途径:搜索,咸鱼淘宝,第三方源码站,各种行业对应

CMS:“内容管理系统”。 内容管理系统是企业信息化建设和电子政务的新宠。
CMS组成要素:
○ 文档模板
○ 脚本语言或标记语言
○ 与数据库集成
CMS识别:
在线工具:
指纹识别
云悉

  1. 平台识别-某CMS无漏洞-默认数据库
    比如:xycms程序搭建的,下载源码后,在其目录里,xycms-utf8-v4.6 ,有一个xydate目录:
    在这里插入图片描述
    进入目录,存在一个mdb文件(ASP脚本特有的数据库文件):
    在这里插入图片描述

用软件easyaccess打开,可以看到管理员账号密码:


然后,进入后台登录。

 网站攻击成功。

 

black^sugar
关注
  • 7
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xycms add_ad.php sql注入漏洞1
08-03
漏洞简介:XYCMS原名为南京XYCMS企业建站系统,所设计的版本分为动态版和静态版。这里发现 siteinfo 里面的参数没有进行任何过滤,直接post请求带
【渗透实战系列】xycms的一次漏洞挖掘
最新发布
书山上的云的博客
10-13 528
本次漏洞挖掘是用于记录某次实验中自建CMS靶场的漏洞挖掘情况。
第二周渗透测试靶场实践
张子悦^^的博客
10-12 324
第二周渗透测试靶场实践信息收集扫描端口漏洞利用phpMyadminyxcms后渗透域内信息收集反弹shell提权利用cs与msf联动设置代理cs的准备工作系统信息收集主机密码收集cs读内存cs读注册表密码利用cs设置代理msf配置代理添加路由msf扫描内网主机内网信息收集获取内网主机权限窃取Token总结 信息收集 扫描端口 靶场地址:10.203.87.175 nmap -sS -sV -A 10.203.87.175 开了80端口,浏览器打开 发现备份文件,点击备份文件,解压 打开每
yxcms存储型XSS至getshell 漏洞复现
Boom!脑洞大爆炸的博客
06-28 1615
yxcms存储型XSS至getshell 漏洞复现
50 多个使用 HTML-CSS-JS 的迷你 Web 项目源码
04-26
主要包含项目名称: 扩展卡 进度步骤 旋转导航动画 隐藏的搜索小部件 模糊加载 滚动动画 拆分着陆页 形式波 音板 爸爸笑话 事件键码 常见问题解答 随机选择器 动画导航 递增计数器 喝水 电影应用 背景滑块 主题时钟 按钮涟漪效应 拖放 绘图应用程序 动能装载机 内容占位符 粘性导航栏 双垂直滑块 Toast 通知 Github 简介 双击心脏 自动文字效果 密码生成器 好便宜快 笔记应用程序 动画倒计时 图片轮播 气垫板 图鉴 移动标签导航 密码强度背景 3d 背景框 验证账户用户界面 实时用户过滤器 反馈用户界面设计 自定义范围滑块 Netflix 移动导航 测验应用程序 推荐盒切换器 随机图像馈送 所有列表 昆虫捕捉游戏
PHP代码审计——SQL注入漏洞(YXcms)
W小哥
08-18 2255
一、漏洞描述 在处理删除内容时,传入的数据进行拼接赋值,整个数据传递过程仅对数组进行mysql_real_escape_string处理,导致SQL注入漏洞
厉害了,上次我见过这么厉害的安全测试实战还是上次
Androidyuexia的博客
12-08 805
01概念介绍 1.1 xss XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript,但实际上也可以包括 Java、 VBScript、ActiveX、 Flash 或者甚至是普通的 HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各种内容。 参考资料:百度百科 1.2 pr 提权 PR 提权利用 Win
xycms add_book.php sql注入漏洞1
08-03
漏洞简介:XYCMS原名为南京XYCMS企业建站系统,所设计的版本分为动态版和静态版。这里发现 reply_content 里面的参数没有进行任何过滤,直接po
xyCMS后台getshell
qq_45300786的博客
05-13 1320
在网站配置页面插入一句话。(注意一定要把前后内容闭合,不然整个网站都要崩溃) 插入结果。 shell工具连接
网络安全(三 漏洞的抓取与挖掘)
Aidang的博客
05-01 1714
挖掘************************ 身份认证 常用弱口令/基于字典的密码爆破 锁定账号 信息收集(多看看子站上的东西) 手机号 密码错误提示(利用burpsuite) 密码嗅探 会话sessionID Xss/cookie import SessionID in url 嗅探 SessionID长期不变/永久不变 SessionID生成算法 Sequencer 私有算法 预判下一...
XYCMS生物科技公司源码 v2.2
04-02
XYCMS生物科技公司源码是一款不错的企业网站源码,该源码比较简单容易上手,和使用,现在系统源码已经更新:部分用户反馈的BUG信息,更新后台兼容性,添加新闻自动跳转问题,企业信息管理:包括基本信息管理,添加,在线报名信息管理,问答中心信息管理。新闻中心管理:管理新闻信息内容,管理相关分类,添加或者删除,产品内容管理:对产品类别进行管理,分为大类和小类,发布最新产品信息 下载资料管理:网站下载资料管理,可添加,修改,删除等相关操作 客户案例管理:对客户案例内容进行管理 招聘信息管理:发布一些招聘信息网页广告管理:包括一些图片广告管理。生成JS调用,增加了对联广告管理和漂浮广告,可以控制是否显示(关闭),功能非常强大 其他信息管理:查看管理员登录记录,可以进行修改操作 系统信息管理 系统设置:进行系统相关基本信息设置,如网站名称,企业信息等基本信息。可以管理是否关闭网站 LOGO/形象图片管理:首页LOGO管理,可以设置长宽大小,可以上传分页形象图片 安全管理:看相关违规操作记录,查询攻击IP地址,自动封闭IP,管理SQL信息 安全设置:根据需要设置一些安全过滤信息 首页菜单管理:可以添加,删除菜单信息,打开窗口,是否显示,是否为头部导航或者底部导航栏 管理员管理:对超级管理员信息管理,可以进行添加,删除,修改等操作 后台路径/system/,用户名,密码都是admin
XYCMS企业建站系统源代码
03-18
XYCMS企业建站系统是以asp+access进行开发的企业建站系统。 网站功能: 安全性:防SQL注入,自动锁定入侵的IP地址,防XSS攻击,具有很好的过滤系统 功能简述: 企业信息管理:包括基本信息管理,添加,在线报名信息管理,问答中心信息管理 新闻中心管理:管理
xycms网站源码
07-08
网站源码XYCMS企业(公司)建站系统是为中国企业提供一站式网络解决方案的建站平台,我们一直致力于中文企业网站建设。
XYCMS企业建站系统 v1.0
10-18
网站后台路径admin/ 用户名,密码都是admin 企业信息管理:包括基本信息管理,添加,在线报名信息管理,问答中心信息管理 新闻中心管理:管理新闻信息内容,管理相关分类,添加或者删除 产品内容管理:对产品类别进行管理,分为大类和小类,发布最新产品信息 客户案例管理:对客户案例内容进行管理,可以按地区分类,分为大类和小类 招聘信息管理:发布一些招聘信息,在线应聘,后台查看应聘者详细信息 网页广告管理:包括一些图片广告管理。生成JS调用,增加了对联广告管理和漂浮广告,可以控制是否显示(关闭),功能非常强大 其他信息管理:查看管理员登录记录,可以进行修改操作 系统信息管理 系统设置:进行系统相关基本信息设置,如网站名称,企业信息等基本信息。可以管理是否关闭网站,注册是否审核,留言是否审核 LOGO/形象图片管理:首页LOGO管理,可以设置长宽大小 安全管理:看相关违规操作记录,查询攻击IP地址,自动封闭IP,管理SQL信息 安全设置:根据需要设置一些安全过滤信息 首页菜单管理:可以添加,删除菜单信息,打开窗口,是否显示,是否为头部导航或者底部导航栏 管理员管
XYCMS留言板PHP版源代码
03-18
XYCMS留言板是以php+MySQL进行开发的php留言板源码,软件为普通的留言板可广泛应用于企业网站等需要留言板的网站中进行使用。 安装路径:/install 后台路径:/system/ 后台默认用户名,密码都是admin 进行安装后方可访问首页index.php,然后访问后台管理。 环
java实现校园一卡通源码-dubbo:达博笔记
06-05
java实现校园一卡通源码 1、分布式基础 1.1 什么是分布式系统 《分布式系统原理与范型》定义:分布式系统是若干独立计算机的集合,这些计算机对于用户来说就像单个相关系统。分布式系统(distributed system)是建立...
android源码java-Omni-Notes:Android的开源笔记记录应用程序
05-19
多个小部件,DashClock扩展,Android 4.2锁屏兼容性 多国语言:支持30多种语言: 进一步的发展将包括: 笔记同步 Web界面来管理笔记() 您可以在应用程序设置菜单中找到完整的变更日志! 如果您需要有
深入理解Vue transition源码分析
12-10
这两天学习了Vue transition感觉这个地方知识点挺多的,而且很重要,所以,今天添加一点小笔记。 本来打算自己造一个transition的轮子,所以决定先看看源码,理清思路。Vue的transition组件提供了一系列钩子函数,...
网页便签「Web Page Sticky Notes」-crx插件
03-20
便携式-将笔记同步到Google云端硬盘,并在另一台计算机上访问它们加密-导出/备份/同步已加密***功能***-同步到Google云端硬盘-加密-添加/删除/克隆-最小化/最大化-调整大小/双击边缘以调整大小/自动调整大小-背景/...
小迪安全2020v6笔记
10-05
小迪安全2020v6笔记是一款以网络安全为主题的笔记软件。该软件在2020年进行了升级,版本为v6。 小迪安全2020v6笔记通过提供强大的加密功能,保护用户的笔记内容不被他人访问。用户可以创建多个笔记本,并在每个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值