漏洞预警
phpok前台任意文件上传getshell下载
另一个更好用的0day已经没了,把这个也放出来,官网已被黑客shell/framework/www/upload_control.php第45行: function base_f(){$rs = $this->upload_base(
2014-07-22中兴某设备任意文件下载下载
某项目渗透测试,结果发现这叫什么 “中兴通讯安装升级服务管理后台”存在路径穿越。。。试了几台设备发现都存在,已经提前跟贵公司人员说了,不知道发这里还晚不晚。这是登陆界面:这个是遍历etc/passwd 提示下载保存:
2014-07-22最新版本的PPStream客户端上传用户信息到一个特定的Xiaomi邮箱下载
您好,是这样的,我的手机是root过的Galaxy Note2。最近在用dSploit抓包时,发现自己的手机会向xiaomi的一个特定邮箱(具体地址是:50021834884@xiaomi.com)发送很多个人信息,比如联网的地址,运营商等
2014-07-22开源中国某处SQL报错注入可获取敏感数据下载
开源中国某处sql注入开源中国某处SQL报错注入可获取敏感数据在 http://git.oschina.com/用的是微擎不知道为什么没补
2014-07-22[公开漏洞]开源中国某处SQL报错注入可获取敏感数据
开源中国某处SQL报错注入可获取敏感数据 相关厂商: 开源中国漏洞作者:路人甲 提交时间:2014-07-22 10:40 公开时间:2014-07-22 11:44 漏洞类型:SQL注射漏洞危害等级:中 自评Rank:5 漏洞状态: 漏
2014-07-22搜狐焦点某站漏洞打包下载
1、权限设置有问题:直接访问后台的一个应用:ip转向审核(没搞清楚到底是干嘛的。。)http://ncfile.focus.cn/common/modules/bbsadm/trans_domain_app.php?page=499&app
2014-07-21搜狐视频漏洞可强刷无线VIP漏洞下载
通过穷举搜狐视频KEY,可以刷无限会员,我试了下刷到了2030-10-05http://tv.sohu.com/vip/ 搜狐视频网,无限视频会员VIP 激活方法:打开网页,选择上方的激活会员卡输入注册的账户密码登陆到达卡密的这个地方:然后
2014-07-20汽车点评可重置指定任意用户密码下载
注册俩账号测试用。第一个账号登录窗口:用这个账号的邮箱找回密码:打开连接,进入到修改密码的界面。然后用Fiddler截取。修改邮箱为测试目标的邮箱输入目标邮箱和修改的密码:从这里随便找一个邮箱: WooYun: xgo汽车点评网-SQL注入
2014-07-20PPTV设计缺陷可导致用户邮箱手机泄漏下载
PPTV用户邮箱手机泄漏,能够在攻击中直接获取用户重要信息。访问找回密码页面:使用test测试帐号,找回密码,在页面显示为正常的加*号的手机信息:但是在源码中显示了用户真是的邮箱和密码信息:修复方案:在服务器端,保存用户重要信息。
2014-07-20新浪分站存在CGI POST SQL注入漏洞下载
新浪分站存在SQL注入http://finance.sina.com.hk/cgi-bin/forex/calculate.cgi POSTinput_amount=88952634&to_currency=2&from_currency=
2014-07-19