kingcms 5.0 漏洞

1。kingcms 5.0 fckeditor的默认路径在 admin/system/editor/FCKeditor/editor/fckeditor.Html 把本地的马命名为 hx.asp;jpg 注意看 jpg前面没有点了.. OK了..其实以后做站结合fckeditor这类的编辑器..最好加个验证..只有管理才能访问..这样或者比较好吧 2。编辑器路径:/admin/system/edi...

- 阅读全文 -

ECShop全版本注入0day

先注册账户,随便选个商品进购物车,把任意商品加入购物车在填写配送地址那一页,有地区选择,然后填地址,电话什么的 flow.php?step=consignee&direct_shopping=1 比如省选择北京 其中POST数据如下 country=1&province=3&city=37&district=409&consignee=11111&e...

- 阅读全文 -

安全狗iis 6.0 ; 截断解析突破

看好友日志的一篇文章,写的很好,但是还没有实践,先转来在说 众所周知web安全狗是国内比较流氓的软件,劫持模块,坑爹的删不了。除了这些流氓行为之外,还恬不知耻的做了各种没有用的限制!比如说注入安全狗本身对xx.asp?id=69 and 1=1和 xx.asp?id=69 and 1=2这些是过滤的,可是对xx.asp?90sec.org=%00.&xw_id=69%20 and 1=1和...

- 阅读全文 -

phpmyadmin 2.11.4万能密码漏洞

phpmyadmin 2.11.4 phpmyadmin 2.11.3 两个版本都有此漏洞 我去测试了一下 确实可以用。。。 你们可以试一下 只需要输入账号  密码不需要输入 利用代码如下: ‘localhost’@'@”

- 阅读全文 -

黑客进行域名劫持的几种方法总结

一. 介绍   在2012年10月24日。社会化分享网站Diigo域名被盗,导致500万用户无法使用网站。   域名盗窃,也叫做域名劫持,不是新技术。早在2005年,SSAC报告就指出了多起域名劫持事件。域名劫持被定义为:从域名持有者获得非法域名的控制权   本文介绍了域名劫持的几种技术   二. 域名劫持的几种方法 有几种不同的劫持方法,1假扮域名注册人和域名注册商通信.2是伪造域名注册人在注册...

- 阅读全文 -

巴基斯坦谷歌、雅虎、苹果等大型网站遭黑客攻击

  巴基斯坦的许多大型企业官方网站,包括谷歌、微软、雅虎、苹果、Visa、汇丰银行、可口可乐、Blogspot、索尼、惠普、eBay、PayPal都遭到了黑客攻击。来自媒体The Hackers Media的消息,这些网站是被一个土耳其黑客组织黑的。 另有三个域名:blog.microsoft.pk、adsense.google.com.pk以及code.google.pk也遭到了一个巴...

- 阅读全文 -

利用QQ拼音纯净版漏洞可提权 Windows 8

    发现这个漏洞的时候, 笔者正在机房上课。正想用3389远程桌面去控制宿舍电脑的时候,因为重做系统忘记自己的IP地址,因此就随手扫描了一下IP段开3389端口的电脑。没想到就随手扫描到一台WIN8的系统,而且这个系统还装了QQ输入法WIN8纯净版。     当时我就想起初中时候的那个极品五笔的漏洞,就随手测试了一下,没想到在时隔7、8年后的今天,号称非常安全的WIN8系统居然还有如此大的漏洞...

- 阅读全文 -

PJblog3漏洞利用说明

真想不明白这样的漏洞这么久了官方为什么不修复 到现在还有此类漏洞  伸直更可怕的注册会员直插一句话 工具是用VBS写的,代码如下: If WScript.Arguments.Count <> 2 Then WScript.Echo "Usage: Cscript.exe Exp.vbs 要检测的论坛网址 要检测的用户名" WScript.Echo "Example: Cscript.e...

- 阅读全文 -