黑客攻防

2020-10-10黑客大哥阅读(182)评论(0)

听说大朴网不错，东西用起来很舒服，而且大朴网来黑吧漏洞公告中心了，发现了个小问题，越权之修改任意用户订单 如果我把订单的收货人改成Finger或者疯狗或者xsser再或者肉肉，那你们岂不是赚到了？ 说在前面：上个漏洞(http://www....

2020-10-10黑客大哥阅读(244)评论(0)

 一、SQL注入 SQL注入是一种利用应用程序数据库层出现的安全漏洞的代码注入技术。通常在一些场景容易发生，比如用户输入的内嵌于SQL语句里的转义字符没有被正确的过滤掉或用户输入不是强类型导致异常的执行。SQL注入是注入型漏洞攻击...

2020-10-11黑客大哥阅读(294)评论(0)

cmseasy 5.5.0.20140605 bbs/ajax.php   $data = array(); $_POST['content'] = unescape($_POST['content']); $data['aid'...

2020-10-10黑客大哥阅读(222)评论(0)

0x00 前言 很多时候我们会因为一个活动或者一些其它的原因建立一些临时的站点。但是糟糕的是一旦这一切过去后我们会忘了关闭它。就像我在http://hk.promotions.yahoo.com上发现的这个漏洞一样，那些临时站点往往成为我们...

2020-10-10黑客大哥阅读(266)评论(0)

u-mail中某个文件由于参数过滤不严谨导致产生了SQL注入，通过此漏洞可以将shell写入到web目录下，可批量getshell。 Baidu & Google Keywords: ————————————————————- Po...

2020-10-11黑客大哥阅读(237)评论(0)

华润集团某控股公司一系列系统安全问题及隐患 (弱口令/目录遍历/任意短信发送/Getshell/信息泄露) 华润三九医药股份有限公司：不止是ST2漏洞,只有个开始。 —————&#...

2020-10-10黑客大哥阅读(214)评论(0)

首先是内网的突破口 bbs.sm.91.com 密码弱口令：000000 那就直接登录后台了。   然后直接编辑Ucenter、设置IP处直接拿下WEBSHELL   进入内网以后呢，我就开始翻啊翻   巧合的...

2020-10-11黑客大哥阅读(193)评论(0)

我先去注册两个号，整了两份简历，拉出来看看     我们来改第二个号的简历，抓个包，改个ID试试   点提交数据，还给我蹦了个框，不过不要在意这些细节 回去看看第一个号   哇哦，汉子变妹子了，我喜欢...