lfi | CN-SEC 中文网

安全开发

网络安全工具-转子女神&渗透测试信息收集杀器&EDU实战测试分析

①：转子女神 / Roor Goddess 这段时间心情糟糕，用URLfinder和JSfinder的时候感觉速度好慢，有些路径还摸不到，美化也有点不适应，用二开的又感觉差点意思，用熊猫头插件是不...

06月29日170 views评论

阅读全文

安全工具

本地文件包含测试工具

去年某政务云重保让我长了记性：攻击队早就不玩`php://filter`这种直球攻击了。他们在`file=`参数里玩俄罗斯套娃，先用base64编码绕WAF，再套两层路径遍历，最后用expect包装器...

06月07日17 views评论

阅读全文

安全工具

URLFinder:快速、全面、易用的页面信息提取工具

工具介绍 URLFinder是一款快速、全面、易用的页面信息提取工具，用于分析页面中的js与url,查找隐藏在其中的敏感信息或未授权api接口。大致执行流程: 快速使用单url 显示全部状态码URL...

06月07日20 views评论

阅读全文

安全漏洞

WooCommerce 插件 LFI漏洞 POC

POST /wp-admin/admin-ajax.php?template =../../../../../../../ etc/passwd&value=a&min_symbols...

06月07日13 views评论

阅读全文

安全漏洞

金和OA-C6系统接口IncentivePlanFulfillAppprove.aspx存在SQL注入漏洞

00产品简介金和OA协同管理平台（又称金和C6协调管理平台），共有20多个应用模块，160多个应用子模块，涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目...

06月07日30 views评论

阅读全文

安全工具

Diytools | 解放双手，秒开cmd !

本文由掌控安全学院 - yf3_te 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（ https://bbs.zkaq.cn） Diytools Diytools 秒开你的 cmd！（...

06月05日11 views评论

阅读全文

安全文章

渗透Tips：自动收集GET请求URL

免责声明：由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除...

06月04日25 views评论

阅读全文

安全漏洞

WordPress安全插件WP Ghost有远程代码执行漏洞

流行的WordPress安全插件WP Ghost容易受到一个严重漏洞的攻击，该漏洞可能允许未经身份验证的攻击者远程执行代码并劫持服务器。WP Ghost是一个流行的安全插件，在超过20万个WordPr...

05月30日60 views评论

阅读全文

安全文章

LFI漏洞攻击技巧

GET 路径注入：尝试 ///../../../../etc/passwdPOST LFI：测试类似 /router.jsp?../etc/passwd 的路径使用 %2e%2f 或 %00 绕过

05月27日28 views已关闭评论

阅读全文

文件包含漏洞：一场网络安全的谍影重重？

一、文件包含漏洞：不止是“偷梁换柱”那么简单说起网络安全漏洞，文件包含绝对算得上一个“老油条”。但你以为它只是简单地把恶意代码塞进服务器？Too naive！这玩意儿，本质上就是一场精心策划的“谍战”...

05月26日安全文章22 views评论

阅读全文

安全文章

记一次edu证书站从lfi到控制台接管

文章首发在：先知社区https://xz.aliyun.com/news/17949五一放假，因为最近腰不太好没法出去玩，所以在单位值班蹭电，边看小说边挖挖洞。因为一直想要个edu的证书，所以中午先简...

05月19日17 views评论

阅读全文

安全新闻

WordPress 安全插件 WP Ghost 存在远程代码执行漏洞

流行的 WordPress 安全插件 WP Ghost 存在一个严重漏洞，可能允许未经身份验证的攻击者远程执行代码并劫持服务器。WP Ghost 是一款流行的安全插件，被超过 200,000 个 Wo...

04月16日44 views评论

阅读全文

网络安全工具-转子女神&渗透测试信息收集杀器&EDU实战测试分析

本地文件包含测试工具

URLFinder:快速、全面、易用的页面信息提取工具

WooCommerce 插件 LFI漏洞 POC

金和OA-C6系统接口IncentivePlanFulfillAppprove.aspx存在SQL注入漏洞

Diytools | 解放双手，秒开cmd !

渗透Tips：自动收集GET请求URL

WordPress安全插件WP Ghost有远程代码执行漏洞

LFI漏洞攻击技巧

文件包含漏洞：一场网络安全的谍影重重？

记一次edu证书站从lfi到控制台接管

WordPress 安全插件 WP Ghost 存在远程代码执行漏洞

在线咨询

微信