因为某站用的这个系统 旁站也无从下手 所以就下了份源码来读 整套程序过滤的还是比较全面的 不过所有版本都是GBK编码是他的硬伤 但是基本上字符串入库的时候作者都使用了iconv来把提交过来的数据...
04月03日31 views评论a
c
74CMS 人才系统 v3.2 注射 & 全版本通杀进后台
04月03日31 views评论a
c
04月03日31 views评论a
c
某域名虚拟主机分销管理系统0day
google搜索:inurl:help/notice.asp?n_id= 直接放到注入工具注入直接可以等到DB_OWNER 后台setinmanager 文章来源于lcx.cc:某域名虚拟主机分销管理...
04月03日lcx49 views评论a
d
手动判断 tomcat、JBOSS 指定目录是否存在
有时需要猜测网站存在哪些目录,看看有没有什么敏感目录,但是服务器是tomcat的话,它不像IIS一样,存在目录会有回显提示。 不管目录存不存在,tomcat都是“HTTP Status 404 -"那...
04月03日lcx69 views评论a
b
Integral AES 256 bits 加密U盘设计缺陷.
发现可通过提供不间断电源的方式, bypass 一款由Integral出产的号称AES256 bits 硬件加密U盘.严格来讲这更应该规划为设计缺陷.此款加密缺陷表现为U盘一旦解锁,只要电源不断.即使...
04月03日52 views评论a
aes
廉价迷你 Linux 机器 Raspberry Pi 详解
在今年早些时候Raspberry Pi刚刚发布,这个信用卡大小的迷你Linux机器瞬间走红。在它开始发售的那个晚上,Pi计划的官方分发商Premier Farnell/element 14与RS Co...
04月03日21 views评论a
asp
Facebook开始利用在线赌博游戏圈钱
Facebook看起来并没有在华尔街赢得多少风光,倒是开始考虑着继续圈钱了;Facebook目前在英国推出一款游戏可以用真实货币在线赌博的游戏,允许18岁以上且在英国境内上网的用户使用该应用并且依据游...
04月03日30 views评论a
ac
apache struts2 remote code execute
apache struts2 remote code execute, Aug 21 2012 01:54 PM. this method was published at xcon2012 xcon...
04月03日lcx28 views评论a
ac
Aaccess 暴字段的一个技巧
说明:不知道有没有人发过,反正这里今天测试 突然发现了。 作者:鬼哥 利用条件: access数据库 , 存在注入 , 有错误回显。 大家看看这段sql吧: select * from next wh...
04月03日lcx37 views评论a
ac
NTFS中的ADS的一些问题
有关ADS的简单说明请看:NTFS不利的一面 可以看到ADS在很久以前就被一些安全人员所关注,并且也提出了一些经典的利用,比如隐藏文件,隐藏webshell(交换数据流(ADS)与IIS的前世与今生)...
04月03日lcx28 views评论a
ad
jre 远程代码执行 0day,可进行挂马攻击
// // CVE-2012-XXXX Java 0day // // reported here: http://blog.fireeye.com/research/2012/08/zero-day...
04月03日lcx104 views评论a
d
Flightradar24 网站“直播”天上“堵飞机” 看全球实时航班
在Flightradar24网站上,人们可以实时追踪全球正在飞行的航班行踪。 中国日报供本报特稿 天空那么大,飞机怎么可能像汽车在地面道路上一样挤得满满当当呢?不过只要你上一下Flightradar2...
04月03日135 views评论a
ad
PHP FastCGI 的远程利用
说到FastCGI,大家都知道这是目前最常见的webserver动态脚本执行模型之一。目前基本所有web脚本都基本支持这种模式,甚至有的类型脚本这是唯一的模式(ROR,Python等)。 FastCG...
04月03日lcx33 views评论a
c
25