phpcms_v9.6.0_sql注入与exp

2017-4-24 / 0 评论 / 1019 浏览 / Mrxn

phpcms_v9.6.0_sql注入分析 可疑的函数 localhost/phpcms/modules/attachment/attachments.php文件的第241GET提交src变量带上了safe_relace函数,现在我们跟入这个该死的过滤函数看看它到底在搞什么鬼....*/ 2...

号称全球最权威的监控软件 FlexiSPY 被黑,相关源码、编译、文档被泄漏

2017-4-24 / 0 评论 / 2033 浏览 / Mrxn

号称全球最权威的监控软件 FlexiSPY 被黑,相关源码、编译、文档被泄漏, 在4月22日,由 @fleximinx 储存整理. Source files: bb_cyclops.zip d84f692b12c732e14ad463b4d7d0ec34 from Tweet Mega :...

小计一个正则匹配提取实例之从网页中提取所有域内链接

2017-4-22 / 0 评论 / 1222 浏览 / Mrxn

比如某个网站包含如下的内容: <select name="select7" class="textbox" style="width: 200px;" onchange="MM_jumpMenu('parent',this,0)"> <option selected="selected">--...

NSA 方程式组织又被泄了一批好东西,主要是windows的exploit

2017-4-15 / 0 评论 / 2523 浏览 / Mrxn

Decrypted content of odd.tar.xz.gpg, swift.tar.xz.gpg and windows.tar.xz.gpg Downloaded from https://yadi.sk/d/NJqzpqo_3GxZA4 Original post from the #ShadowBrokers&...

Discuz 加密解密函数 authcode

2017-4-14 / 0 评论 / 1267 浏览 / Mrxn

<?php /** * $string 明文或密文 * $operation 加密ENCODE或解密DECODE * $key 密钥 * $expiry 密钥有效期 */ function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) { ...

手工注入之联合查询注入实例

2017-4-13 / 2 评论 / 922 浏览 / Mrxn

首先找到一个URL 然后尾部添加’,测试一下是否有注入点, 然后输入and 1=1,页面正常返回,可能是存在注入点, 然后输入and 1=2,页面报错,可能存在注入点,因为我输入的1=1和1=2可能被执行,因为1=1...

警惕office出轨,慎点不可描叙的地方

2017-4-12 / 0 评论 / 948 浏览 / Mrxn

刚看到微步出了报告,感觉也只是冰山一角,这个漏洞最早由卖咖啡和火眼爆出,看nccgroup报告16底就已经出现,近期开始特别活跃起来,有用于rat/rookit/银行木马。 样本会是一个rtf格式的文档,后缀可以是doc等office文档。 一个关键点是攻击者需要搭建一个服务器,通过olelink对象产生的...

HP的$_SERVER['HTTP_HOST']获取服务器地址功能详解

2017-4-12 / 0 评论 / 801 浏览 / Mrxn

uchome的index文件中的二级域名功能判断,使用了php的$_SERVER['HTTP_HOST'],开始对这个不是很了解,所以百度了一下,发现一篇帖子有点意思,转发过来做个记录。 在php中,我们一般通过$_SERVER['HTTP_HOST']来活得URL中网站的域名或者ip地址。 php手册中的解释如下: “H...

FileOptimizer-利用谷歌开源的图片算法Guetzli优化你的图片

2017-4-10 / 0 评论 / 2094 浏览 / Mrxn

先做个简单的介绍,估计很多人不知道这个软件: FileOptimizer是一种高级文件优化器,具有无损(无质量损失)文件大小压缩功能,可支持的文件类型有: .3GP, .A, .AAI, .AC, .ACC, .ADP, .AI, .AIR, .APK, .APNG, .APPX, .APR, .ART, .AVS, .BAR, .B...

如何绕过安全狗waf这类的防护软件--PHP过狗一句话实例两枚+过狗详细分析讲解

2017-4-9 / 0 评论 / 1381 浏览 / Mrxn

00x01    目前大多数网站都存在类似安全狗,360主机卫士的防护软件,所以今天咱们来一波虐狗 00x02    下面是我整理的一些免杀的思路:                  ...

代码审校工程师系列之-PHP漏洞发掘及代码防御

2017-4-7 / 0 评论 / 1031 浏览 / Mrxn

教程来自一位想我求助解压密码的读者,我大致看了一下是2011年左右的,具体的是谁出的教程不知道,不过,作为学习PHP代码审计的还是不错。特地在此分享一下,课程目录如下: 解压密码合集.txt Seay-Svn源代码泄露漏洞利用工具.rar 新浪web安全培训.ppt Seay源代码审计系统2.0.rar 第3课sql注入及防护(2).rar...

勒索?没钱!要命不?不给!

2017-4-7 / 0 评论 / 859 浏览 / Mrxn

宅客频道谢幺最近发现了一个神奇的网站 ,看名字就感觉牛逼轰轰的: No more Ransom( 不再付赎金) No more Ransom ,不再付赎金!没钱!“要钱没有,要命一条” 。 打开首页,依然调性十足,上来就直入主题:“小伙,需要帮你解锁被黑客加密勒索的数据吗?” 上来就问我需不需要服务, 我当然不能示弱...