关注我们

  • 记一次由百度云会员引起的审计及渗透

    记一次由百度云会员引起的审计及渗透

    前言#前天找了点域渗透的环境和资料,都是百度云盘存储的,一个镜像十几个g,下不下来,发现网上有卖百度云VIP账号的,都是一些发卡网,刚好自己最近在学代码审计,就想着下载一套源码自己看看能不能审出漏洞。没想到还真看出来了点东西。开搞#目标站点...

    网友投稿 渗透测试 2019.04.12 73713
  • 审计丨从RCE到LDAP信息泄漏

    审计丨从RCE到LDAP信息泄漏

    背景几个月前,我自愿对一家法国公司进行了安全审计。该公司有一个企业站,你可以在其中找到新闻,联系页面或下载文档。这是一个非常典型的网站,当加载某些内容,将会发送AJAX请求,该请求由2个参数组成。并允许你以HTML格式获取一个包含最新新闻动...

    Lzers 代码审计 2019.04.09 27745
  • 安全人进阶需要的100篇文档,速来认领[Micropoor/Micro8]

    安全人进阶需要的100篇文档,速来认领[Micropoor/Micro8]

    渗透测试/APT模拟攻击,是一把双刃剑,Micro8系列适用于初中级安全从业人员,乙方安全测试,甲方安全自检,网络安全爱好者等,企业安全防护与提高,该系列遵守:免费,自由,共享,开源。请勿触犯法律,如触犯与本作者无关。当下载/传播/学习等便...

    Lzers 白帽艺术 2019.03.12 101606
  • CVE-2018-20129: DedeCMS V5.7 SP2前台文件上传getshell漏洞预警

    CVE-2018-20129: DedeCMS V5.7 SP2前台文件上传getshell漏洞预警

     0x00 漏洞背景2018-12-11 在CVE中文申请站公布了一个 DEDECMS 5.7 SP2 最新版本中存在文件上传漏洞,具有管理员权限者可利用该漏洞上传并getshell执行任意PHP代码。经过分析验证。该漏洞要求管理...

    周俊辉丨安云 代码审计 2018.12.22 172805
  • METINFO 6.1.2 SQL注入

    METINFO 6.1.2 SQL注入

    0x01 前言这个本来是也不想放出来的,因为metinfo这套cms毕竟使用人数还是挺多的,影响范围也很广。但是一位仁兄已经把另一个无条件的触发点放出来了,那我这个稍微有点条件的藏着掖着也没啥意思,不如好洞成双。0x02 漏洞分析漏洞文件:...

    M4st 代码审计 2018.11.20 138011
  • "黑客教父"郭盛华您的网站存在Xss!快修修吧

    "黑客教父"郭盛华您的网站存在Xss!快修修吧

    00x01闲来无聊,笔者拿着在线WEB指纹识别系统,识别了一下"黑客教父"郭盛华的东方联盟(www.vm888.com)不扫不知道,一扫吓一跳Empirecms???帝国CMS???00x02猛然间想起freebuf发过...

    周俊辉丨安云 代码审计 2018.10.20 633882
  • 二次注入代码剖析

    二次注入代码剖析

    本文针对二次注入进行讲解,并简单的绕过360脚本waf。。。。。首先来看程序的注册页面代码:可以看到程序开始执行就包含了./includes/common.php这个文件,而这个文件又是整个程序的核心,进入common.php文件:这个文件...

    网友投稿 代码审计 2018.09.18 143128
  • post需要application/x-www-form-urlencoded

    post需要application/x-www-form-urlencoded

    代码审计的时候,遇到个坑,由电脑上burp抓包,查看源码得知需要POST数据过去,可是无论如何都服务端post都接不到任何数据,反而file_get_contents(‘php://input’)收到了在花费了半小时之后的谷歌才发现,尼玛p...

    Lzers 代码审计 2018.04.07 140702
  • php漏洞与代码审计

    php漏洞与代码审计

    在甲方公司做代码审计一般还是以白盒为主,漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。1.xss + sql注入其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在...

    Lzers 代码审计 2018.04.07 135089
  • php代码审计之弱类型引发的灾难

    php代码审计之弱类型引发的灾难

    有人说php是世界上最好的语言,这可能是对开发人员来说,确实有这方面的特点,因为它开发起来不像其他语言那样麻烦,就比如:弱类型,它不需要像java等语言那样明确定义数据类型。这给开发带来了很大的便利,所有的数据类型都可以用$xx来定义,而不...

    Lzers 代码审计 2018.04.07 99079