安全博客 - 第 720 | CN-SEC 中文网

漏洞时代

Z-BLOG Blind-XXE造成任意文件读取

下载最新版Z-Blog：http://bbs.zblogcn.com/thread-88670-1-1.html /zb_system/xml-rpc/index.php 641行...

01月01日798 views评论

阅读全文

蝉知企业门户系统 v2.5.1 绕过补丁继续注入

/system/module/user/model.php [php] public function update($account) { /* If the user want...

01月01日漏洞时代515 views评论

阅读全文

U-mail 最新版漏洞大阅兵(信息泄露，多个getshell，多处SQL注入漏洞，远程代码执行)

1、信息泄露 (phpinfo信息泄露)http://www.xxx.com/webmail/client/mail/index.php?module=test&action=in...

01月01日漏洞时代522 views评论

阅读全文

漏洞时代

hdwiki5.1 SQL注入漏洞

Author：phithon /control/edition.php 119行注意这句判断$this->post['eid'][0]和$this->post['eid'][1]如...

01月01日509 views评论

阅读全文

漏洞时代

逐浪cms 2.4某处任意文件上传

/Plugins/swfFileUpload/UploadHandler.ashx 有一个全局过滤 asp_code.dll class ZoomlaSecurityCenter

01月01日420 views评论

阅读全文

漏洞时代

易思ESPCMS sql注入

下了最新版来看看，发现加密函数还是老样子啊- -不过，查询换成了 id 而不是 username了，

01月01日412 views评论

阅读全文

漏洞时代

Tccms sql注入#3(直接提示至管理员。官网demo成功)

看到 /app/controller/user.class.php修改会员资料处[php]public function update() {$_Obj = M ( 'user' ...

01月01日360 views评论

阅读全文

eYou邮箱系统v3.6命令执行漏洞

先看eYou的代码：//获取用户目录 [php] function getUserDir($uid, $domain) {$handle = popen("/var/eyou/sb...

01月01日漏洞时代1,878 views评论

阅读全文

漏洞时代

DZ X2.5!远程命令执行漏洞分析

博文作者：阿里巴巴安全研究实验室发布日期：2015-1-15通过patch比对，可发现/source/class/class_image.php文件Thumb()函数内的第54、5...

01月01日421 views评论

阅读全文

漏洞时代

用友TruboCRM管理系统SQL注入

用友CRM客户关系管理系统Google关键字：intitle:用友TurboCRM intext:登录注入链接：/background/festivalremind.p...

01月01日761 views评论

阅读全文

漏洞时代

微窗cms最新版任意代码执行漏洞分析

漏洞触发点其实是string2array()这个函数造成的，先来看一下这个函数体：可以看到其中有个eval()，那么意思是我们只要能够控制住$data这个变量，那么就可以任意代码执...

01月01日511 views评论

阅读全文

漏洞时代

phpshe注入漏洞(目测通杀)

起因文件include/plugin/payway/alipay/return_url_db.php:这是一个付款的调用文件一般我会先去证明漏洞是否存在然后再看上面的验证条件(首先...

01月01日673 views评论

阅读全文

Z-BLOG Blind-XXE造成任意文件读取

蝉知企业门户系统 v2.5.1 绕过补丁继续注入

U-mail 最新版漏洞大阅兵(信息泄露，多个getshell，多处SQL注入漏洞，远程代码执行)

hdwiki5.1 SQL注入漏洞

逐浪cms 2.4某处任意文件上传

易思ESPCMS sql注入

Tccms sql注入#3(直接提示至管理员。官网demo成功)

eYou邮箱系统v3.6命令执行漏洞

DZ X2.5!远程命令执行漏洞分析

用友TruboCRM管理系统SQL注入

微窗cms最新版任意代码执行漏洞分析

phpshe注入漏洞(目测通杀)

在线咨询

微信