2017年3月

Fiyo CMS 2.0.6.1允许低权限用户通过修改级别参数提升到超级管理员权限源码下载:https://sourceforge.net/projects/fiyo-cms环境:PHP5.5+MYSQL5.6+Apache进入后台,新建几个不同权限的用户
Web安全 技巧 分享 cve cms 黑客
瞎逛的时候发现的,记录一下以备后用效果有多吊,谁用谁知道{双层加密,可以防爆破}在线:http://www.unphp.net/解密:http://wiki.yobi.be/wiki/Forensics_on_Incident_3<?php $file = 'D:/Web/index.php'; /*要加密的文件*/ $pass = '123456'; /*登录密码*/ func...
Web安全 木马 加密 代码
S2-046与S2-045漏洞属于同一类型,如果在之前S2-045漏洞曝光后用户已经升级过官方补丁,这次就不受影响。POST /doUpload.action HTTP/1.1 Host: localhost:8080 Content-Length: 1000000000 Cache-Control: max-age=0 Origin: http://localhost:8080 Upgra...
Web安全 分享 poc 命令执行 exp
CVE-2016-10033PHPMailer < 5.2.18 远程代码执行远程攻击者利用该漏洞,可实现远程任意代码在web服务器账户环境中执行,并使web应用陷入威胁中。攻击者主要在常见的web表单如意见反馈表单,注册表单,邮件密码重置表单等使用邮件发送的组件时利用此漏洞。EXP:https://www.exploit-db.com/exploits/40974/漏洞分析:phit...
Web安全 技巧 原创 cve demo
准备环境本次使用bWAPP和DVWA作为测试系统,填写 bee/bug 登录系统选择"本地文件包含" and then hack it0x1基本的文件包含http://192.168.66.133/bWAPP/rlfi.php?language=lang_en.php&action=go http://192.168.66.133/bWAPP/rlfi.php?language=/e...
Web安全 技巧 原创 分享 漏洞
use google , no baidulist some keywords, just enjoy it :)inurl:VloginUser.action inurl:Mail.action inurl:code.action inurl:reg.action inurl:Address.action inurl:!Index.action inurl:login.action inu...
Web安全 分享 Google