搜索精彩内容
包含"firefox"的全部内容
通过nodeJs中eval关键字打造一款管理nodeJS后门的菜刀
0x00 前言 “webshell” 这个关键字在黑与白的术语中经常出现,它具有操作目标web站点的文件权限,而webshell在web查杀中是脆弱的,管理者可以通过web日志进行溯源,从而查杀webshell。在web杀...
Myscan被动扫描器
说明 myscan是参考awvs的poc目录架构,pocsuite3、sqlmap等代码框架,以及搜集互联网上大量的poc,由python3开发而成的被动扫描工具。 此项目源自个人开发项目,结合个人对web渗透,常见漏洞原...
代码审计之gxlcms
这次审计因为对thinkphp框架的不熟悉,中间走了很多弯路,有些tp框架的特定函数不是太了解,因此看代码看的十分吃力,其实上午就已经审计了一套代码,但是没有找到漏洞。。很气。。 源码下载地...
代码审计之Semcms v2.3
前言:本来提交给了cnvd平台,竟然被驳回,原因是semcms v2.2就已经存在了这个漏洞,那么问题来了,这个锅难道是我们背?(无力吐槽厂商。。) SemCms是一套开源外贸企业网站管理系统,主要用于...
[转]Typecho install.php 后门代码分析
有一天凌晨听其他师傅说typecho留了后门,因为吃鸡太晚了就没看。 后面想分析的时候,后发现原文章没了,搜索引擎的缓存都是乱的。。。。 找了好久也没有找到,于是问了下其他看过的师傅漏洞位...
Apache服务器安全配置
偶然下载了今年ISC大会360应急响应中心的一个ppt,在最后有个攻防领域专家注册考试目录,其中有很大一块就是中间件的安全,包括Apache、IIS、Tomcat、Weblogic等等,后面我会针对这些中间件,并...
再次代码审计之Semcms(bypass sqli)
前言:由于漏洞重复了,因此提前公布漏洞详情,挖的几个漏洞都是高危漏洞,后台没有看,同时存在一个后台登录的cookie绕过,这里可看前面文章:代码审计之Semcms v2.3。 一、cms简介 SemCms是一...
【转】Burpsuite你可能不知道的技巧
* 本文作者:shadow4u,本文属FreeBuf原创奖励计划,未经许可禁止转载 一年一度的Burpsuite过期的时间又到了,Burpsuite作为Web安全者必不可少的一件神器,其实有很多实用的技巧,本篇文章的目...
子域名探测 v1.0
这两天想着锻炼一下自己的编程能力,所以想结合实际情景写出一个python脚本,这个实际场景就是在平时进行渗透测试的时候,我们首先会做信息的搜集,这块肯定就少不了子域名的搜集。 子域名的搜...
【转】某次XSS绕过总结
To:znn 0x01 背景 前段时间苏宁src五倍积分,想着无事刷一刷玩玩,碰到一个反射型XSS,如下图: 插入<img src=a>测试正常(此处截图遗失,漏洞已修补),证明存在XSS,但是过滤了许多关...