渗透测试
ECShop_V2.6.2后台获取webshell
最近风声紧,暂时不写新文章,拿两篇几个月前的老文章凑凑数。注意此篇文章区别于之前我发出的拿shell的办法:http://www.oldjun.com/blog/index.php/archives/42原创作者:oldjun文章来源:http://www.oldjun.com/注:本文已经发表在《黑客防线》2009年05期ECShop网店系统是一套免费开源的网上商店软
新型万能登陆密码
最近风声紧,暂时不写新文章,拿两篇几个月前的老文章凑凑数。原创作者:oldjun文章来源:http://www.oldjun.com/注:本文已经发表在《黑客手册》2009年05期本文章无技术含量,只是提供一个思路,思路来源于前不久暴出的那个ewebeditor2.16版本的上传漏洞。对于过滤了单引号或者做了post防注入的站点,
Discuz! 7.0 及以下版本后台拿webshell(无需创始人)
我很少关心之类的漏洞,已经很少拿站了,遇到DZ更加只是路过,也没去过多关心DZ的漏洞或者去研究代码;前不久论坛被人留下一个shell,害我检查半天,不过既然遇到了,那就公布出来方便大家。我先声明:1.这个不是我首发,很多牛牛很早之前就发现了,但没人公布,ring04h牛那貌似有个:http://ring04h.g
团队展示版主考勤系统 FOR Discuz! 7.0 GBK正式发布
曾经需要一款dz论坛的版主考勤系统,寻觅了很久,官网论坛、各大搜索引擎,没能发现,没办法,只好自己来了,5月份写完的1.0版本,在我的仙剑论坛:http://www.moujian.com/bbs测试了下,发现了许多问题,于是整体修改了下,于是有了1.1版本,目前使用的很好,没有什么问题。因此决定共享给大家使用,
Discuz! 7.0下Wap访问显示图片的研究
由于管理自己的论坛,对论坛的一些功能有缺陷的话,会想办法进行完善,于是有了这篇文章。玩黑思路很重要,写程序思路一样很重要。由于网上对相关Discuz论坛wap显示图片的技术文章非常少,而官方迟迟不更新wap版本,所以只能靠自己了。官方论坛搜了很久,也查看了别人对于5.5版本与6.0版本的处理方法,
Discuz! 7.0 若干插件存在不同程度的漏洞
----------------------------------------------------------------------------# oldjun注:帮朋友打下广告,希望大家不要介意。这本书是 冰的原点 写的,lcx写的序。官方连接:http://www.nohack.cn/bbs/thread-96363-1-1.html新书预告<黑客渗透笔记>快赏淘宝预定地址:http://item.taobao.com/au
查询某关键词在MSSQL数据库位置的ASP脚本
晚上皇子(http://www.2chuizi.com)丢给我一段SQL语句,功能是:以一个关键字为索引,搜索整个数据库,然后返回那个关键字所在的表名和列名。(很赞...特别是入侵的时候找不到用户名与密码所在的表的时候,如果能直接通过输入admin这个关键词找出字段...省得一个表一个表的看了。)于是根据那段语句,写
有关友情链接、评论、转载等等的一些说明
有关友情链接、评论、转载等等的一些说明
ECShop网店系统<=V2.6.2 后台拿webshell
ECSHOP是一款开源免费的网上商店系统。由专业的开发团队升级维护,为您提供及时高效的技术支持,您还可以根据自己的商务特征对ECSHOP进行定制,增加自己商城的特色功能。(官方介绍)ECSHOP前段时间出了个注射漏洞:http://bbs.wolvez.org/topic/67/,拿后台权限应该没有问题,但文章没有提及如何在后
Web开发中请勿过分依赖Javascript
Javascript是客户端语言,javascript为web应用带来了很多优势,因此很多web程序开发者非常依赖javascript,从简单的判断到ajax,javascript无所不在,然而过分依赖javascript,您的web程序可能出现极大的安全隐患。下面从实际情况讲讲过分依赖javascript所带来的问题:1、upload时的javascript判断,这
