wdcp虚拟主机管理系统注入利用工具

分类:工具 | 2014-04-14 | 撸过 1,505 次
4人扯谈

wdcp (WDlinux Control Panel) 是一套用PHP开发的Linux服务器管理系统,类似国外流行的cpanel,旨在易于使用和管理Linux服务器,可以在线通过网页管理服务器和虚拟主机.简单,方便,易操作.只有Linux版本,没有windows版本,让你方便地使用和管理Linux服务器,让不懂Linux的人也可以用Linux做服务器了.支持CentOS/RedHat/ubuntu/wdlinux_base/wdos 版本。

wdcp服务器/虚拟主机管理系统存在 X-Forwarded-For 盲注漏洞,利用工具如下图

代码加密,无法阅读。
[......]

继续阅读

FCK编辑器漏洞综合利用工具

分类:工具 | 2014-04-14 | 撸过 3,643 次
1人扯谈

国内fck编辑器太多了,每次动手复制粘贴,复制粘贴。非常麻烦。

此工具功能齐全。撸站必备工具。

20131102011138

下载地址:FCK编辑器漏洞综合利用工具

burpsuite_pro_v1.5.11 破解版

分类:工具 | 2014-04-14 | 撸过 645 次
0人扯谈

Burp Suite是一个Web应用程序集成攻击平台,它包含了一系列burp工具,这些工具之间有大量接口可以互相通信,这样设计的目的是为了促进和提高整个攻击的效率。平台中所有工具共享同一robust框架,以便统一处理HTTP请求,持久性,认证,上游代理,日志记录,报警和可扩展性。  BurpSuite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。
[......]

继续阅读

轻松绕各种WAF的POST注入、跨站防御(比如安全狗)

分类:安全 | 2014-04-1 | 撸过 1,413 次
2人扯谈

    XXX之前有提过multipart请求绕过各种WAF方式:360网站宝/安全宝/加速乐及其他类似产品防护绕过缺陷之一,貌似没引起多少人关注。今天发现安全狗变聪明了以前那套他不吃了,不过随手给狗提交了一个二进制的文件域就XXOO了。注意一定要是二进制文件,图片、压缩包什么的都行。

构建如下HTML表单:

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />[......]

继续阅读