-
漏洞描述
2019年11月6日,阿里云应急响应中心监测到ThinkCMF templateFile 远程代码执行漏洞。攻击者通过构造特定的请求,成功利
用该漏洞可直接获取服务器权限。
漏洞造成的影响
由于ThinkCMF对某些函数的访问权限设置存在问题,攻击者在无需任何权限情况下可以通过构造恶意请求,向服务器写入任
意内容的文件,达到远程代码执行的目的。攻击者利用该漏洞可以直接获取到服务器权限,阿里...阅读全文
作者:admin | 分类:
漏洞公布 | 阅读: |
-
昨晚8点 宝塔发布官方平台短信 紧急更新
与此同时,宝塔官方发布了宝塔面板7.4.2的手动更改API鉴权破解方法
该漏洞可以使其他人无需鉴权就能进入数据库改数据或删库
宝塔 Linux 面板是提升运维效率的服务器管理软件,支持一键 LAMP / LNMP /集群/监控/网站/ FTP /数据库/ JAVA 等100多项服务器管理功能。目前互联网中已公布相关利用的 POC,建议受影响企事业单位尽快修复。
漏洞:
凡是在...阅读全文
作者:admin | 分类:
漏洞公布 | 阅读: |
-
Metinfo 5.3.17 SQL注入批量检测 下载地址:http://blog.wmphp.com/down/Metinfo 5.3.17 SQL注入批量检测.zip
教程地址:https://www.ichunqiu.com/course/58947
阅读全文
作者:admin | 分类:
漏洞公布 | 阅读: |
-
今天疯传12306网站漏洞导致用户密码泄露事件,本站也得到相同的文档,从数据中可以看到总共是131653条真实数据,登陆几乎全部有效,看来是最新的,该数据基本上可以确认为黑客通过“撞库攻击”所获得。撞库攻击原理是很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登陆B网址,这就可以理解为撞库攻击;还有可能是黑客通过发布第三方抢票软件,当...阅读全文
作者:admin | 分类:
漏洞公布 | 阅读: |
-
dedecms recommmend 最近exp,经过本人测试,可以入侵DEDE 2014-2-28版本,本网站wmphp.com,也可以入侵啊,哎,DEDE漏洞太多了,太残暴了!
下载后请留言。。。
附件下载:dede-recommend.rar
阅读全文
作者:admin | 分类:
漏洞公布 | 阅读: |
-
工具介绍:
本工具主要用于dedecms5.7版本漏洞测试。
利用漏洞针对dedecms5.7补丁更新于20130607以前的有效。
如测试到存在漏洞,请站长急速到dedecms.com官网下载补丁
附下载地址:http://updatenew.dedecms.com/base-v57/package/patch-v57v57sp1-20130607.zip
这款工具主要是利用这个漏洞:
http://www.wmphp.com/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1...阅读全文
作者:admin | 分类:
漏洞公布 | 阅读: |
-
dede5.7 上传漏洞
查看最后升级版本
系统最后升级时间:http://127.0.0.1/data/admin/ver.txt
指纹码最后同步时间:http://127.0.0.1/data/admin/verifies.txt
上传漏洞:
/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post
//测试是否存在漏洞
查看管理员用户名:
http://localhost/member/ajax_membergroup.php?action=post&member...阅读全文
作者:admin | 分类:
漏洞公布 | 阅读: |
-
本方法适用批量注入wdcp服务器/虚拟主机管理系统, 经过测试2.5版本存在严重漏洞,整理一下方法如下,
首先使用法客论坛URL采集工具,搜一下存在的WDCP管理系统的网址,关键字如“wdcp服务器/虚拟主机管理系统”
搜索结果如下:
在使用WDCP注入工具批量扫描
注意:md5加密方式是32位的,不太好破解。本站只提交学习研究,请勿商业用途,由此带来的法律责任后果自负。
...阅读全文