php - 第 17 | CN-SEC 中文网

安全新闻

【安全资讯】严重的 PHP 漏洞使 QNAP NAS 设备容易受到远程攻击

台湾网络附加存储 (NAS) 设备制造商 QNAP 周三表示，它正在修复一个存在三年之久的关键 PHP 漏洞，该漏洞可能被滥用以实现远程代码执行。 “据报道，一个漏洞会影响 PHP 版本 7.1.x ...

07月25日82 views评论

阅读全文

安全文章

vulnhub之devguru的实践

今天实践的是vulnhub的devguru镜像，下载地址，https://download.vulnhub.com/devguru/devguru.ova.7z，用workstation导入成功，直接...

07月24日74 views评论

阅读全文

安全文章

实战 | 记一次PHP混淆后门的分析利用

作者：小老弟你怎么回事@深信服深蓝实验室天慧战队目标一个站发现版权和标题都是XX源码下载网，那目标源码可能是网上下载的，于是我也搞了一套源码回本地开始测试。我习惯网上这种能下载到的源码一般很大可能是存...

07月23日38 views评论

阅读全文

代码审计

【代码审计】梦想CMS注入与新秀GETSELL

Part1梦想CMS代码审计之SQL注入1前言梦想cms（lmxcms）使用php语言和mysql数据库开发，并且采用了主流的MVC设计模式，使系统框架结构清晰、易维护、模块化、扩展性更好，而且系统中...

07月20日161 views评论

阅读全文

安全工具

AntSword v2.1.15 更新汇总

由于 ASP/ASPX/ASPXCharp/PHP/JSP/CUSTOM 类型每次请求时为多个参数，WebSocket连接之后Server端解析会较为困难，所以当前仅支持「RAW」类型: 「PHPRA...

07月18日252 views评论

阅读全文

安全文章

PHP变量流量层面WAF绕过

简介本文主要研究PHP的GET/POST/COOKIE大变量生成过程，及可能在WAF流量层面绕过的一些TRICKS实验环境：PHP 7.3.4 在FPM模式下运行PHP变量处理的主要代码在main/p...

07月14日61 views评论

阅读全文

安全文章

「漏洞分析」Drupal 远程代码执行「CVE-2017-6920」

前几天在参加 FOFA-攻防挑战赛时，遇到了 Drupal 的盲盒漏洞环境，最终确定漏洞为 CVE-2017-6920 ，但是还是无法 getflag ，因为网上相关参考文章并不是很多，大多都只是简单...

07月13日30 views评论

阅读全文

安全工具

红队快速渗透常用工具集

整理了红队用的最多工具库资料，话不多说，直接开领！往下往下往下查找PHP代码漏洞工具 phpvuln是一个开源OWASP渗透测试工具，可以加快发现PHP代码中常见的PHP漏洞，如命令注入、本地/远程...

07月11日250 views评论

阅读全文

代码审计

eyoucms 1.0前台getshell分析

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系刘一手。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果...

07月07日297 views评论

阅读全文

安全文章

ThinkPHP 5.1反序列化分析和poc

点击上方蓝字关注我们0x00 前言最近挖不出漏洞了，所以来学习一下反序列化。毕竟测试的系统连个页面也没有，只给了十几个接口。之前对反序列化只停留在基础的原理层面，所以这次着重一下分析思想和如何写poc...

07月04日97 views评论

阅读全文

安全文章

PHP文件上传流式表示WAF跨越

简介PHP文件上传实现规范为RFC1867实验环境为PHP 7.3.4 + nginx 1.20.1，关于上传部分的相关源码在github，PHP解析multipart/form-data请求体的入口...

07月04日0 views评论

阅读全文

安全文章

渗透技巧 | 网站后台常见的Getshell技术整理

扫码领资料获入门教程免费&进群随作者：掌控安全—杰斯get也叫做拿webshell，通过注入或者其他途径，获取网站管理员账号和密码后，找到后台登录地址，登录后，寻找后台漏洞上传网页后门，获取网...

07月04日165 views评论

阅读全文

【安全资讯】严重的 PHP 漏洞使 QNAP NAS 设备容易受到远程攻击

vulnhub之devguru的实践

实战 | 记一次PHP混淆后门的分析利用

【代码审计】梦想CMS注入与新秀GETSELL

AntSword v2.1.15 更新汇总

PHP变量流量层面WAF绕过

「漏洞分析」Drupal 远程代码执行「CVE-2017-6920」

红队快速渗透常用工具集

eyoucms 1.0前台getshell分析

ThinkPHP 5.1反序列化分析和poc

PHP文件上传流式表示WAF跨越

渗透技巧 | 网站后台常见的Getshell技术整理

在线咨询

微信