1月份所有文章 | CN-SEC 中文网

漏洞时代

phpok通杀前台getshell 4.0.515官方demo测试成功

无任何限制，不用注册账号，不用csrf，不用注入。一个请求直接getshell。不得不说phpok的输入处理做的还是不错的。。。不过这里就出了一个问题

01月01日676 views评论

阅读全文

PHP 5.6.3 unserialize() execute arbitrary code

Description: ------------ Reported by Stefan Esser :A while ago the function "process_nest...

01月01日漏洞时代365 views评论

阅读全文

漏洞时代

FFmpeg文件读取漏洞测试及利用

from:安全脉搏经历过看了老外写的文章，大概理解的利用方式如下：以上内容保存成test.avi，是用来上传到被攻击服务器的。

01月01日463 views评论

阅读全文

ZDSOFT 漏洞

/images/database/admin.xml 可以看到管理用户账户密码 editor/dialog/selectPageBg.aspx?position=&director...

01月01日漏洞时代648 views评论

阅读全文

漏洞时代

ThinkSAAS最新版漏洞打包

最新版中tsUrlCheck()函数引发了多个漏洞 /thinksaas/tsFunction.php检查传入的参数存在非$strOk变量中的字符时，就是用header跳转。但是...

01月01日577 views评论

阅读全文

漏洞时代

ThinkOX 最新版 SQL 注入漏洞 #4

/Application/Shop/Controller/IndexController.class.php商品的id未经过过滤，并且用拼接的方式带入where查询，导致注入。 _...

01月01日352 views评论

阅读全文

漏洞时代

Z-BLOG Blind-XXE造成任意文件读取

下载最新版Z-Blog：http://bbs.zblogcn.com/thread-88670-1-1.html /zb_system/xml-rpc/index.php 641行...

01月01日801 views评论

阅读全文

蝉知企业门户系统 v2.5.1 绕过补丁继续注入

/system/module/user/model.php [php] public function update($account) { /* If the user want...

01月01日漏洞时代519 views评论

阅读全文

U-mail 最新版漏洞大阅兵(信息泄露，多个getshell，多处SQL注入漏洞，远程代码执行)

1、信息泄露 (phpinfo信息泄露)http://www.xxx.com/webmail/client/mail/index.php?module=test&action=in...

01月01日漏洞时代525 views评论

阅读全文

漏洞时代

hdwiki5.1 SQL注入漏洞

Author：phithon /control/edition.php 119行注意这句判断$this->post['eid'][0]和$this->post['eid'][1]如...

01月01日509 views评论

阅读全文

漏洞时代

逐浪cms 2.4某处任意文件上传

/Plugins/swfFileUpload/UploadHandler.ashx 有一个全局过滤 asp_code.dll class ZoomlaSecurityCenter

01月01日424 views评论

阅读全文

漏洞时代

易思ESPCMS sql注入

下了最新版来看看，发现加密函数还是老样子啊- -不过，查询换成了 id 而不是 username了，

01月01日413 views评论

阅读全文

phpok通杀前台getshell 4.0.515官方demo测试成功

PHP 5.6.3 unserialize() execute arbitrary code

FFmpeg文件读取漏洞测试及利用

ZDSOFT 漏洞

ThinkSAAS最新版漏洞打包

ThinkOX 最新版 SQL 注入漏洞 #4

Z-BLOG Blind-XXE造成任意文件读取

蝉知企业门户系统 v2.5.1 绕过补丁继续注入

U-mail 最新版漏洞大阅兵(信息泄露，多个getshell，多处SQL注入漏洞，远程代码执行)

hdwiki5.1 SQL注入漏洞

逐浪cms 2.4某处任意文件上传

易思ESPCMS sql注入

在线咨询

微信