蜗蜗侠's Blog-关注网络安全移动版

  • Imagetragick 补丁绕过再次命令执行

    日期:2016-12-28 09:39:26 点击:174 好评:0

    from: lonelyrain.me 哎哎哎,老司机一言不合就爆洞啊,这个洞在之前分析 CVE-2016-3714 的时候也发现了,结果被捂烂了心塞塞~那我就写一下当时是怎么发现怎么这个洞 ##漏洞分析正文 之前在分析CVE-2016-3714的时候想, system() 函数处理有问题,那么其他类似的...

  • 越权漏洞的挖掘技巧

    日期:2016-12-27 10:17:13 点击:196 好评:0

    简要 越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为, 一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操...

  • 内网如何定位管理员

    日期:2016-12-27 10:14:13 点击:141 好评:0

    内网渗透,不是简单的耍流氓的说可内网渗透或者内网漫游,有着更高更深的责 任和需求,有着更多设备和报警及防护软件(如Bit9,惠普ARCsight,曼迪昂特等)的突破,有着更多网络拓扑和结构需要清晰洞察,有着更多的域控 和域需要占领,当然了定位到内网管理...

  • 思科CloudCenter Orchestrator系统曝提权漏洞CVE-2016-9223

    日期:2016-12-27 10:05:25 点击:149 好评:0

    思科提醒用户Cisco CloudCenter Orchestrator系统存在提权漏洞CVE-2016-9223,可能已经被用于网络攻击。 Cisco CloudCenter是由CloudCenter Manager和CloudCenter Orchestrator组成的混合云管理平台。CloudCenter Manager是用户和管理员使用的界面,而CloudC...

  • 七种方法绕过安卓手机锁屏

    日期:2016-12-27 10:01:30 点击:97 好评:0

    为了避免手机中一些重要的隐私信息,被其他人获取或访问到,例如:短信、通讯录、照片等内容。我们通常都会设置锁屏,来保护我们的手机。而在 Android智能机中,最常用的安全措施是模式锁定,PIN码或数字密码锁屏。 但是,如果你不小心忘记了你所设置的模式...

  • OpenSSH < 7.4 - agent 漏洞利用代码细节

    日期:2016-12-27 09:49:27 点击:93 好评:0

    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 Source : https : //bugs.chromium.org/p/project-zero/issues/detail?id=1009 The OpenSSH agent permits its clients to load PKCS11 providers using the co...

  • 新手指南:DVWA-1.9全级别教程(完结篇,附实例)之XSS

    日期:2016-12-27 09:41:51 点击:180 好评:0

    目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。...

  • ZABBIX SQL注入

    日期:2016-12-24 14:47:22 点击:105 好评:0

    zabbix是一个开源的企业级性能监控解决方案。 官方网站:http://www.zabbix.com zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。 wa...

  • 乐尚商城CMS 前台任意文件上传

    日期:2016-12-24 14:28:25 点击:112 好评:0

    from: 90sec author: LionEiJonson 0x01:序言 前段时间我发表了乐尚商城后台任意文件上传,当时没注意到它整个后台调用的方法都没做登录验证,所以尴尬的以为是后台 getshell,昨天经论坛一朋友提醒才明白是前台 getshell,如果需要看代码分析的朋友可以传送...

  • PostScript语言安全研究(一)ImageMagick新漏洞分析

    日期:2016-12-24 14:25:42 点击:58 好评:0

    Author :数据流 (Flyin9_L) 前言:主流的东西太多了,还是研究一些非主流的语言好玩。 PostScript(PS) 是一种页面描述性语言,由 Adobe 开发,后由 Apple 推进发展。开始是应用于工业印刷绘图排版,现在广泛适用于打印机。虽然 PostScript 是比较冷门的语言...