• 欢迎访问挑战自我博客网站,安全研究,web渗透,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入挑战自我博客网站 网站主页

最新发布 第7页

挑战自我博客一位IT从业者的自白

挖洞经验

php的Smarty服务端模板注入,允许远程执行命令

php的Smarty服务端模板注入,允许远程执行命令
1、漏洞简介我在Unikrn的服务器上发现了一个漏洞:可以允许我执行‘file_get_contents ’函数,并且读取/etc/passwd文件的内容。2、漏洞具体描述这个服务器看起来后台使用的是php的smarty模板,当在用户选项中的firstname, lastname或者nickname中输入一个恶意的payload,然后邀请一个用户来加入……继续阅读 »

挑战自我 2年前 (2017-08-22) 4873浏览 0评论19个赞

个人武器库

心脏滴血漏洞测试payload

心脏滴血漏洞测试payload
Heartbleed漏洞,这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。测试语句如下:python sslt……继续阅读 »

挑战自我 2年前 (2017-08-11) 2310浏览 0评论20个赞

WEB

各行业常见漏洞类型汇总

各行业常见漏洞类型汇总
新兴信息技术的快速应用,为各类企业的发展提供了便利,但同时也让企业面临巨大的信息安全风险。近几年,企业信息安全事件数量相较以往大幅增长,并有继续快速增长的趋势。不同行业网站的漏洞也呈现不同的倾向和趋势。  ……继续阅读 »

挑战自我 2年前 (2017-08-10) 2180浏览 0评论16个赞