ThinkCMF 高危漏洞分析与利用

一、组件介绍1.1 基本信息ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架。ThinkCMF提出灵活的应用机制，框架自身提供基础的管理功能，而开发者可以根据自身的需求以应用的形式进…

 Further_eye 2020-11-18 14:31:44

4,119 0 0

CISCN华东南赛区php健康宝wp&思考

前言大家好，我是北京联合大学-小帽，也是本题的出题人。熟悉我的朋友们知道，平时喜欢做做欢乐杂项休闲休闲，所以这次的题目算是个披着web皮的半Misc。 由于微信小程序的开发简单、操作方便等优势，很多的…

 小帽 2020-09-28 11:50:13

6,151 0 3

zabbix SQL注入漏洞（CVE-2016-10134）复现

漏洞介绍：zabbix是一款服务器监控软件，其由server、agent、web等模块组成，其中web模块由PHP编写，用来显示数据库中的结果。漏洞环境：在vulhub执行如下命令，启动zabbix …

 hatjwe 2020-08-27 16:54:16

5,067 0 0

「Burpsuite练兵场」SQL注入及相关实验（一）

说到SQL注入漏洞，各位小伙伴一定是耳熟能详，作为一种常见的高危漏洞，其对于应用程序的损害是非常严重的。因此这也是一个在渗透测试的过程中具有高优先级的验证目标，所以将与之相关的实验进行优先讲述。SQL…

 i春秋聚集地 2020-08-27 14:25:23

5,027 1 1

渗透测试之黑白无常

这是 酒仙桥六号部队 的第 20 篇文章。全文共计3002个字，预计阅读时长10分钟。1背景本文是前段时间做过的测试，当时并没有进行截图以及记录，所以本文全篇使用本地搭建…

 酒仙桥六号部队 2020-08-21 15:20:58

8,264 0 2

Apache SkyWalking SQL注入漏洞CVE-2020-13921

Apache SkyWalking组件介绍SkyWalking是观察性分析平台和应用性能管理系统。提供分布式追踪、服务网格遥测分析、度量聚合和可视化一体化解决方案。支持Java, .Net Core,…

 Further_eye 2020-08-10 13:59:58

4,623 0 0

细说渗透江湖之出荆棘入深林

这是 酒仙桥六号部队 的第 4 篇文章。全文共计4133个字，预计阅读时长12分钟。前言大家好，我是一名正义的使者，常常在黑夜来临的时候，徜徉在网络的海洋中，突破层层防御…

 酒仙桥六号部队 2020-06-19 17:16:26

12,118 1 4

APP端常见漏洞与实例分析

前言：白帽子们一般都是从web端开始学习安全技术，但是我们并不满足于web端，自然而然地对APP端产生了浓厚的兴趣，本文将讲述如何在移动端进行渗透，并分享自己在对移动端渗透过程中常见的漏洞与一些案例的…

 菜鸡CaiH 2020-05-08 11:36:33

15,204 0 33

记一次渗透棋牌APP实录

利用模拟器安装好APP,然后进行BURP抓包分析通过各种手工分析,找到某处SQL注入漏洞.之前信息收集的时候已经知道目标开放1433端口(爆破失败) 因此注入的时候,直接 --dbms=ms…

 HACK_Learn 2020-04-16 11:19:44

13,843 1 12

代码审计Day12 – 误用htmlentities函数引发的漏洞

本文转载自先知社区：https://xz.aliyun.com/t/2757 本文由红日安全成员： l1nk3r 编写，如有不当，还望斧正。前言大家好，我们是红日安全-代码审计小组…

 红日安全团队 2018-09-28 10:30:11

5,596 0 4

某CTF线下赛某CMS SQL注入分析

前段时间，参加一次CTF线下攻防赛，用的是某cms，里面有一个SQL注入漏洞，挺有意思，记录一下分析心得。系统后台登陆处存在SQL注入，在后台登陆用户名处加个’测试一下：发现报错，十有八九存在SQL注…

 tinyfisher@foxmail.com 2018-03-28 10:53:00

6,917 0 4

ThinkPHP5 SQL注入漏洞 && PDO真/伪预处理分析

刚才先知分享了一个漏洞（ Thinkphp5.X设计缺陷导致泄漏数据库账户密码），文中说到这是一个信息泄露漏洞，但经过我的分析，除了泄露信息以外，这里其实是一个（鸡肋）SQL注入漏洞，似乎是一个不允许…

 phithon 2017-07-04 10:40:24

16,702 0 2