0x01 前言 前端时间遇了一个钓鱼盗号的网站,这网站就是一个叫你输QQ号的钓鱼页面,懂得人能看出来一眼假。 地址:http://www.ysrshow.top/?id=1 0x03 数据库截图 总共...
【PHP项目审计】MetInfoCMS漏洞审计
1、环境搭建使用PHPStudy环境+MetInfo5.0搭建,将网站源码放入网站根目录,访问安装:将网站源码放入Seay代码审计工具扫描可能存在漏洞的关键字页面,然后通过白盒加黑盒的方式挖掘漏洞:配...
实战!记一次从源码泄露到Getshell
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
从应用层到MCU看Windows处理键盘输入
本文为看雪论坛优秀文章 看雪论坛作者ID:hyjxiaobia 几年前,想写一个关于ACPI协议的系列文章,并归档在<ACPI.sys,从Windows到Bios的桥梁>,但由于各种原因(...
铭飞MCMS 审计
铭飞MCMS是政府、教育等其他行业常用的CMS,应用广泛,但是底层的代码中仍然遗留不少的问题。这篇文章主要针对SQL注入进行审计并探讨如何快速定位SQL注入漏洞,以及其他工具的应用。 铭飞MCMS,是...
原创 | 某厂商数据库审计系统前台RCE挖掘之旅
点击蓝字 关注我们 在某次的HW行动中,遇到某目标单位的数据库审计系统开放到了公网上,在尝试了默认口令口发现可以进入到后台。但是只是进入后台不足以完成任务,于是就开始了此次对此数据库审计系统的RCE挖...
0x01 审计环境
铭飞MCMS是政府、教育等其他行业常用的CMS,应用广泛,但是底层的代码中仍然遗留不少的问题。这篇文章主要针对SQL注入进行审计并探讨如何快速定位SQL注入漏洞,以及其他工具的应用。 铭飞MCMS,是...
PHP开发服务器远程源代码泄露漏洞原理剖析
PHP Built-in Server是PHP自带的Web服务器,多用于在研发阶段快速启动并运行一个可以执行PHP脚本的Web服务器。由于其性能及安全性并没有得到完好的保障,故PHP官方并不建议在生...
从发现SQL注入到ssh连接
作者:Huck Lim声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。前言:某天,同事扔了一个教育站点过来,里面的url看起来像有sq...
利用Frida破解黑盒环境的Dex函数抽取壳
恭喜看雪论坛ID【飞翔的猫咪】获得看雪安卓应用安全能力认证高级安全工程师!看雪论坛作者ID:飞翔的猫咪题目出自看雪高研班2021年10月份作业第二题:函数抽取壳导致了被保护的函数始终运行在解释模式下。...
CTF 代码审计那些事
概述 VNCTF 2023来袭!癸卯之初,让我们“兔”飞猛进,再次相聚在VNCTF的舞台!在工作岗位一直担任开发的角色,做着代码审计的相关工作,新年伊始,打算辗转CTF比赛试试水,和大佬学习学习思路,...
微信小程序源码提取及反编译方法
本文仅用于记录自身学习过程。准备工具1、夜神模拟器2、node源码位置首先,存放各个小程序的源码位置,理论上只要你登录之后,挨个页面访问一遍,源码就会自动备份在一个目录下/data/data/com....
39