0x00前言: 本文主要小结以下php下的xpath查询xml结构的漏洞利用和XXE漏洞利用 xml是可扩展标记语言,它被设计出来是为了存储传输数据的。 它的结构是树形结构,并且标签要成对出现比如下面这个例子 把上面的代码画个示意图 0x01xpath注入: 因为xml的产生是用于存储和传输数据的 ...
分类:
其他好文 时间:
2019-03-11 13:17:37
阅读次数:
214
前言:pwnable.kr这个学习网站是我学习pwn过程中主要肝的一个网站,因为要考研等种种原因没有办法继续肝题,写这个系列是希望对自己已经会了题进行一个总结,以及以我这种萌新的角度对题目的理解希望能帮助到各位初学者,有说的不对的地方还请多指教。 我理解的pwn是寻找服务器程序的漏洞,利用漏洞达到控 ...
分类:
其他好文 时间:
2019-02-17 19:01:23
阅读次数:
197
跨站点请求伪造(也称为XSRF或CSRF,发音为see-surf)是对Web托管应用程序的攻击,其中恶意Web应用程序可以影响客户端浏览器与信任该浏览器的Web应用程序之间的交互。这些攻击是可能的,因为Web浏览器会在每次向网站发出请求时自动发送某些类型的身份验证令牌。这种漏洞利用形式也称为一键式攻 ...
分类:
Web程序 时间:
2019-01-18 20:06:03
阅读次数:
949
工具: K8 Struts2 Exploit组织: K8搞基大队[K8team]作者: K8拉登哥哥博客: http://qqhack8.blog.163.com发布: 2014/7/31 10:24:56简介: K8 Struts2 综合漏洞利用工具 (Apache Struts Remote C ...
分类:
其他好文 时间:
2019-01-13 00:09:04
阅读次数:
926
骑士CMS是国内公司开发的一套开源人才网站系统,使用PHP语言开发以及mysql数据库的架构,2019年1月份被某安全组织检测出漏洞,目前最新版本4.2存在高危网站漏洞,通杀SQL注入漏洞,利用该网站漏洞可以获取网站的管理员账号密码以及用户账号信息.目前很多人才网站都使用的骑士CMS系统,受影响的网站较多,关于该网站漏洞的详情我们来详细的分析一下。骑士cms4.2最新版本使用了thinkphp的架
分类:
Web程序 时间:
2019-01-03 10:52:47
阅读次数:
133
2018年12月10日,ThinkPHP v5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。阿里云态势感知已捕获多起基于该漏洞的真实攻击,并对该漏洞原理以及漏洞利用方式进行分析。现在,对于云上未及时进行系统更新的用户,阿里云态势感知已提供攻击告警,WAF产品支持同步拦截,目前云上客户基本 ...
分类:
Web程序 时间:
2018-12-25 15:14:56
阅读次数:
219
利用docker复现该漏洞,访问http://192.168.80.156:8080/phpinfo.php,可以看到页面出现phpinfo页面 再访问http://192.168.80.156:8080/lfi.php?file=/etc/passwd,可以看到该页面是存在文件包含漏洞的。 先讲一 ...
分类:
Web程序 时间:
2018-12-21 21:23:32
阅读次数:
682
作为现在最流行的编程语言之一的Python,它被证明是如今黑客最常用的工具语言,可是你了解Python吗? 有资料显示,安全商务Imperva在查看GitHub之后得出了这个结论,并且发现有超过20%的GitHub存储库用于攻击工具和概念验证漏洞利用Python编写。 “在GitHub中几乎所有与安 ...
分类:
编程语言 时间:
2018-12-14 17:26:08
阅读次数:
169
SINE安全公司在对phpcms2008网站代码进行安全检测与审计的时候发现该phpcms存在远程代码写入缓存文件的一个SQL注入漏洞,该phpcms漏洞危害较大,可以导致网站被黑,以及服务器遭受***的***,关于这次发现的phpcms漏洞细节以及如何利用提权我们来详细剖析。phpcms2008是国内深受站长建站使用的一个内容CMS管理系统,phpcms的开源话,免费,动态,静态生成,API接口,模
分类:
Web程序 时间:
2018-12-03 11:15:40
阅读次数:
218
漏洞描述:rsync是Linux系统下的数据镜像备份工具,使用快速增量备份工具Remote Sync可以远程同步,支持本地复制,或者与其他ssh,rsync主机同步。 漏洞利用:它的默认端口号是873,我们可以使用nmap扫描端口看目标IP是否开启了873端口 防御方法:配置认证用户或者密码;hos ...
分类:
其他好文 时间:
2018-11-24 18:53:04
阅读次数:
628
