您当前的位置:首页 > 新闻资讯 > 安全知识
  • 2018 11.02
    XiaoCms 0day漏洞
    getshell 漏洞代码位于XiaoCms\admin\controller\uploadfile.php 看一下上传方法 可以看到定义了上传后缀等一系列操作,其中画线处调用了set_limit_type和upload方法,跟进看一下,在XiaoCms\core\library\upload.class.php中 可以看到upload又调用了parse_init方法,该方法同样位于upload.class.php中 在该方法中又调用一个关键的get_file_ext
    继续阅读 >
    标题图片
  • 2018 10.30
    MiniCms代码审计
    命令执行 构造payload后写入网站标题测试 这里采用了var_export函数 而下方采用了htmlspecialchars函数,但是该函数并不影响我们进行命令执行,因此无需考虑 由之前截图可以得知,因为使用了var_export 因此此处无法造成逃逸,难道真的不能命令执行吗?答案肯定是可以的。
    继续阅读 >
    标题图片
  • 2018 10.15
    DESTOON 0day漏洞
    destoon新版短消息中心xss指谁打谁,戳进来看详情!
    继续阅读 >
    标题图片
  • 2018 10.09
    Wildpwn:Unix通配符攻击工具
    Wildpwn是一个Python编写的UNIX通配符攻击工具。UNIX通配符攻击是一种较早之前的黑客技术,但时至今日仍有其用武之地。
    继续阅读 >
    标题图片
  • 2018 09.27
    JBTC 0day漏洞
    JTBC网站内容管理系统是一套可对现有模块进行扩充与克隆的网站系统核心, 采用UTF-8编码,采取 语言/代码/程序 两两分离的技术模式。
    继续阅读 >
    标题图片
  • 2018 09.21
    CVE-2018-14974 —— CVE-2018-14978多个CVE漏洞分析
    QCMS是一款小型的网站管理系统。拥有多种结构类型,包括:ASP+ACCESS、ASP+SQL、PHP+MYSQL。每个漏洞的具体信息单独分析。戳进来看>>
    继续阅读 >
    标题图片
  • 2018 09.11
    CScms 0day漏洞2
    Cscms 采用PHP5+MYSQL做为技术基础进行开发,采用OOP(面向对象)方式进行基础运行框架搭建,模块化开发方式做为功能开发形式,五年开发经验的团队,勇于创新追求完美的设计理念,被更多的政府机构、教育机构、事业单位、商业企业、个人站长所认可,V4.x在保留3.5版的特点的同时,对新版本作出重大的创新。
    继续阅读 >
    标题图片
  • 2018 09.10
    CVE-2018-14973 :QCMS V3.0.1 存储型XSS
    QCMS是一款小型的网站管理系统。拥有多种结构类型,包括:ASP+ACCESS、ASP+SQL、PHP+MYSQL。其功能齐全,包括文章管理,产品展示,销售,下载,网上社区,博客,自助表单,在线留言,网上投票,在线招聘,网上广告等多种插件功能 本文主要对CVE-2018-14973进行讲解,该漏洞为存储型XSS漏洞。
    继续阅读 >
    标题图片
    上拉加载更多
    加载中...
    别扯了,已经到底了