• ThinkCMF templateFile 远程代码执行漏洞

    漏洞描述 2019年11月6日,阿里云应急响应中心监测到ThinkCMF templateFile 远程代码执行漏洞。攻击者通过构造特定的请求,成功利 用该漏洞可直接获取服务器权限。 漏洞造成的影响 由于ThinkCMF对某些函数的访问权限设置存在问题,攻击者在无需任何权限情况下可以通过构造恶意请求,向服务器写入任 意内容的文件,达到远程代码执行的目的。攻击者利用该漏洞可以直接获取到服务器权限,阿里...阅读全文
    作者:admin | 分类:漏洞公布 | 阅读: |
  • 宝塔7.4.2漏洞 可直接访问后台数据库

    昨晚8点 宝塔发布官方平台短信 紧急更新 与此同时,宝塔官方发布了宝塔面板7.4.2的手动更改API鉴权破解方法 该漏洞可以使其他人无需鉴权就能进入数据库改数据或删库 宝塔 Linux 面板是提升运维效率的服务器管理软件,支持一键 LAMP / LNMP /集群/监控/网站/ FTP /数据库/ JAVA 等100多项服务器管理功能。目前互联网中已公布相关利用的 POC,建议受影响企事业单位尽快修复。 漏洞: 凡是在...阅读全文
    作者:admin | 分类:漏洞公布 | 阅读: |
  • 12306漏洞分析和泄露数据(共13万条)

    今天疯传12306网站漏洞导致用户密码泄露事件,本站也得到相同的文档,从数据中可以看到总共是131653条真实数据,登陆几乎全部有效,看来是最新的,该数据基本上可以确认为黑客通过“撞库攻击”所获得。撞库攻击原理是很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登陆B网址,这就可以理解为撞库攻击;还有可能是黑客通过发布第三方抢票软件,当...阅读全文
    作者:admin | 分类:漏洞公布 | 阅读: |
  • 鬼哥dedecms5.7getshell exp漏洞测试工具

    工具介绍: 本工具主要用于dedecms5.7版本漏洞测试。 利用漏洞针对dedecms5.7补丁更新于20130607以前的有效。 如测试到存在漏洞,请站长急速到dedecms.com官网下载补丁 附下载地址:http://updatenew.dedecms.com/base-v57/package/patch-v57v57sp1-20130607.zip   这款工具主要是利用这个漏洞:   http://www.wmphp.com/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1...阅读全文
    作者:admin | 分类:漏洞公布 | 阅读: |
  • Dedecmsv5.7漏洞及工具

    dede5.7 上传漏洞 查看最后升级版本 系统最后升级时间:http://127.0.0.1/data/admin/ver.txt 指纹码最后同步时间:http://127.0.0.1/data/admin/verifies.txt 上传漏洞: /plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post //测试是否存在漏洞 查看管理员用户名: http://localhost/member/ajax_membergroup.php?action=post&member...阅读全文
    作者:admin | 分类:漏洞公布 | 阅读: |
  • 批理注入wdcp服务器/虚拟主机管理系统

    本方法适用批量注入wdcp服务器/虚拟主机管理系统, 经过测试2.5版本存在严重漏洞,整理一下方法如下, 首先使用法客论坛URL采集工具,搜一下存在的WDCP管理系统的网址,关键字如“wdcp服务器/虚拟主机管理系统” 搜索结果如下:   在使用WDCP注入工具批量扫描   注意:md5加密方式是32位的,不太好破解。本站只提交学习研究,请勿商业用途,由此带来的法律责任后果自负。   ...阅读全文
    作者:admin | 分类:漏洞公布 | 阅读: | 标签: