会飞的鱼

首页 » web安全
web安全

苹果CMS/MacCMS V10后门WebShell,第三方下载注意

admins 阅读(110)评论(0)

苹果CMS/MacCMS苹果CMS是国内优秀的开源PHP建站系统,擅长电影程序影视系统这一块,在主流建站系统中特色鲜明,以灵活、小巧、兼容性好、负载强等优点而深受许多站长的喜爱。MacCMS后门Webshell某天始,MacCMS官网因为某些原因停摆。同时在百度搜索苹果CMS或MacCMS出现的排名第一均为一个:www.maccmsv10.com的网址,而真...

热门
web安全

护卫神主机大师被提权漏洞利用

admins 阅读(395)评论(0)

“护卫神·主机大师支持一键安装网站运行环境(IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+伪静态+PhpMyAdmin),并可在线开设主机、SQL Server和MySQL;Web方式管理,拥有独立前台和后台面板。支持Windows Server 2008/2012。结合护卫神14年安全防护经验,严格限制...

热门
web安全

某decms v5.7 sp2 后台 getshell

admins 阅读(877)评论(0)

前言Dedecms最新版后台getshell太多了,以往漏洞复现可参考[代码审计day3]Dedecms版本:deedcms v5.7 sp2下载链接:http://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7-UTF8-SP2.tar.gz漏洞利用在后台默认模板管理先创建一个html。内容为一句话w...

热门
web安全

KALI 2018.1安装VMware-tools

admins 阅读(577)评论(0)

kali 2018.1#cat /etc/issueKali GNU/Linux Rolling传统的vmtools已经被抛弃,VMware Workstation自带的vmware-tools安装后仍然不能相互复制文件,现在建议使用Open-VM-tools。修改源vi /etc/apt/sources.list#中科大更新源deb http://mirr...

热门
web安全

不使用eval、assert制作webshell

admins 阅读(369)评论(0)

1、include函数实现思路:将POST过来的参数写入到一个文本里,再去包含文本实现代码执行<?php @$pwd=$_POST['pwd']; $include_file='code.txt'; if(isset($pwd)){ file_put_contents($include_file,'<?php '.$pwd)...

热门
web安全

ecshop2.x代码执行

admins 阅读(325)评论(0)

前言问题发生在user.php的display函数,模版变量可控,导致注入,配合注入可达到远程代码执行 漏洞分析0x01-SQL注入先看user.php$back_act变量来源于HTTP_REFERER,我们可控。 assign函数用于在模版变量里赋值 再看display函数读取user_passport.dwt模版文件内容,...

热门
web安全

Thinkphp5.1 ~ 5.2 全版本代码执行

admins 阅读(517)评论(0)

最近爆出了Thinkphp5.0.*全版本代码执行,其中5.1与5.2全版本在生产环境下下同样也存在代码执行漏洞分析:文件位置:\thinkphp\library\think\Request.php/** * 当前的请求类型 * @access public * @param bool $origin 是否获取原始请求类型 ...

热门
web安全

WordPress REST API 内容注入

admins 阅读(303)评论(0)

0x00 漏洞简述1. 漏洞简介在REST API自动包含在Wordpress4.7以上的版本,WordPress REST API提供了一组易于使用的HTTP端点,可以使用户以简单的JSON格式访问网站的数据,包括用户,帖子,分类等。检索或更新数据与发送HTTP请求一样简单。上周,一个由REST API引起的影响WorePress4.7.0和4.7.1版本...

热门
切换注册

登录

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册