网络安全 BadMod V2.0:一款用于扫描网站并自动执行渗透的工具
今天给大家介绍的是一款名叫BadMod的工具,大家可以利用该工具来扫描CMS网站并对目标站点进行自动渗透测试。工具版本 v2.01. 修复了颜色bug 2. 修复了权限bug 3. ...
跨境 Hexo和github打造个人博客
使用hexo和github打造属于自己的博客,展示自己的作品,思想……但博主后来偶然看见这个主题,就改用这个了。1.说明自己在使用hexo搭建静态博客的时候踩了许多坑,最终去官网看教程搞定了建议用hexo搭建个人博客的时候,最好看清教程的日期和使用的版本这样就不会因为版本的不同导致的问题了建议先去hexo官网了解一下hexo官网2.准备工...
跨境 教你如何使用XSS来搞定当下热门的CMS
教你如何使用XSS来搞定当下热门的CMS。CMS(内容管理系统)不仅具有模块安装功能,而且还允许我们查看到系统管理员之前所发送的全部请求。因此,CMS也就成为了XSS攻击的一种绝佳目标,而且我们还可以轻松地对目标发动CSRF(跨站请求伪造)攻击。简而言之,XSS攻击将有可能允许攻击者在CMS的底层服务器上实现远程代码执行。本文接下来给出的...
跨境 撞库攻击:你重视老密码吗?
什么是撞库攻击?一个人在网络上行走,难免要在各种不同的网站上注册不同的账号,而有些你注册过的网站在被黑客入侵并获取数据库之后,黑客会根据你的密码使用习惯生成字典,或直接使用数据库内的密码,去尝试登陆你的其他平台的用户中心,获取你的更多信息。如淘宝、卡盟、JD、各大论坛等网站,都会涉及到你的更多信息。案例黑客试图入侵2059万个淘宝帐号12...
跨境 简谈XSS脚本攻击的原理(一)
前言在看这篇文章之前,你需要对Js有一定的了解。如果不了解的话,建议先去学Js脚本。本文可以绕过JavaScript能做什么?嵌入动态文本于HTML页面。对浏览器事件做出响应。读写HTML元素。在数据被提交到服务器之前验证数据。检测访客的浏览器信息。控制cookies,包括创建和修改等。基于Node.js技术进行服务器端编程。通俗来说就是...
跨境 渗透测试之打狗棍法
前言昨晚研究了一下PHP一句话过狗,就是那些思路,于是写了这篇打狗棍法。如果有什么不妥不正确的地方,我就他妈不改。重复造个轮子大牛勿喷。正文下边这个就是我们常用的一句话,我们尽量用assert不要用eval,因为eval有些年头了,关于他的正则比较健全了。<?php @assert($_POST[BLOODY]); ?><...
跨境 ewebeditor在线编辑器漏洞利用教程
1:默认管理后台:http://127.0.0.1/ewebeditor/admin_login.asp后台如果能进入:可点击样式管理:standard 拷贝一份(直接修改改不了)在拷贝的一份里加入图片类型( asa aaspsp ) 然后点预览在编辑器里点设计 然后直接上传asa大马.上传后 在代码里可以看到马的位置!(原理:因为在ii...
跨境 利用Cookie注入 绕过WAF
sql注入之绕过waf(cookie注入)我们看一下题目:网址:http://kypt8004.ia.aqlab.cn/index.asp点击一条新闻,查看相关信息http://kypt8004.ia.aqlab.cn/shownews.asp?id=171 进行简单注入测试 我们再来看一下该表的列数进过测试,当ord...
网络安全 某CMS后台CSRF漏洞利用
前言最近入坑了PHP代码审计,从网上下了几套CMS尝试着练习一下,不得不说现在还在更新的大多数CMS安全性还是不错的,动不动就是源代码加密,配置360、阿里云的过滤文件。。。还好折腾了一段时间后在一个CMS中发现了CSRF漏洞,也算是对这一阵子的学习有一个交代。场景复现我们看一下添加系统用户的后台处理代码public funct...
网络安全 Laravel 5.8 SQL注入漏洞
概述近日,白帽汇安全研究院发现Laravel曝光了一个SQL注入漏洞。Laravel在全球范围内有着众多用户。该框架在国外很受欢迎,国外用户量远大于国内。当然,国内也有大型企业使用该框架。此次曝出的SQL注入漏洞,并不是太通用,需要一定的条件。详情参考以下分析。官方博客的原文描述请见底部链接。分布情况目前FOFA系统最新数据显示全球范围内...