各位同学,大家好:前些天,在咱们身边发生了一件挺有意思的事儿,可能有些同学已经知道了,就是有一名“黑客”发现了嘶吼网站的一个漏洞,这件事儿发生后,嘶吼的老大来问我的想法,也跟我讲了事情前前后后的原委,...
安全新闻
安全新闻
安全新闻
跟黑客“搞”好关系——一次真实的网络攻击后记
金九银十,都是多事之秋。不久前,嘶吼碰见点麻烦,这点麻烦里的关键词是:黑客、白帽黑客、漏洞、赏金。我们费了很大的精力处理这点麻烦,但是依然无法确定最终的处理方式是否恰当,所以决定把事情拿出来,跟大家聊...
代码审计
【代码审计】ThinkSNS_V4 后台任意文件下载导致Getshell
00前言ThinkSNS(简称TS),一款全平台综合性社交系统,为国内外大中小企业和创业者提供社会化软件研发及技术解决方案,目前最新版本为ThinkSNS+(简称TS+),也称作ThinkSNS-pl...
代码审计
【代码审计】PHPYun_v4.3 CMS重装到Getshell
01前言 PHPYun是一款国内流行的人才网站管理系统,做了一些测试,发现了一点问题,做个记录,未深入。02环境搭建PHPYun官网:https://ww...
代码审计
【代码审计】MIPCMS 远程写入配置文件Getshell
00前言 MIPCMS - 基于百度MIP移动加速器SEO优化后的网站系统。在审计代码中,发现一个可以远程写入配置文件Getshell的漏洞,感觉挺有意思的,分享一下思路。0...
代码审计
【代码审计】CLTPHP_v5.5.3 任意文件上传漏洞
00前言CLTPHP采用ThinkPHP开发,后台采用Layui框架的内容管理系统。在代码审计中,发现了一个无需权限的任意文件上传漏洞,可批量,已提交CNVD,分享一下思路。01环境搭建CLTPHP官...
代码审计
【代码审计】EasySNS_V1.6远程图片本地化导致Getshell
01前言ESPHP开发框架基础上开发而成的EasySNS极简社区为全新数据库架构和程序结构。本文以EasySNS_V1.6作为代码审计的目标,分享一个远程图片本地化导致Getshell的漏洞。02环境...
安全文章
【代码审计】SQL二次编码注入漏洞实例(附tamper脚本)
00前言分享一个SQL二次编码注入漏洞的审计实例,并附上 tamper脚本。01环境搭建DocCms官网:http://www.doccms.com程序源码:DocCms2016下载地址:h...
安全文章
【渗透技巧】内网渗透思路
0x01 前言 假如,有一个接入点,可以访问内网服务器网段,如何尽可能的发现服务器网段中可能面临的威胁、存在的安全弱点?本文将通过一些实例,分...
安全文章
【渗透技巧】手机验证码常见漏洞总结
0X00 前言 手机验证码在web应用中得到越来越多的应用,通常在用户登陆,用户注册,密码重置等业务模块用手机验证码进行身份验证。针对手机验证码可能存在的问题,收集了一些手机验证码漏洞的案例,这里做...
安全文章
渗透技巧–浅析web暴力猜解
0x01 前言 Web登录界面是网站前台进入后台的通道,针对登录管理界面,常见的web攻击如:SQL注入、XSS、弱口令、暴力猜解等。本文主要对web暴力...
安全文章
【渗透技巧】资产探测与信息收集
一、前言在众测中,基本上SRC的漏洞收集范围有如下几种形式:形式一:暂时仅限以下系统:www.xxx.com,其他域名不在此次测试范围内形式二:只奖励与*.xxx.com相关的漏洞形式三:无限制形式一...
