加载中…
个人资料
追求绿茵
追求绿茵
  • 博客等级:
  • 博客积分:0
  • 博客访问:63,802
  • 关注人气:24
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
博文
标签:

cve-2014-6271bash远

分类: 黑客
 

CVE-2014-6271 bash远程命令执行漏洞分析

其实,我写这文章也算是纯粹凑热闹,大神莫笑!

  

一、漏洞介绍:

 

标签:

fckeditor

fckeditor漏洞

上传漏洞

分类: 渗透

先在这里做一个Fckeditor知识的了解:

FCKeditor是一个专门使用在网页上属于开放源代码的所见即所得文字编辑器

现在利用其本身的开放源代码,进行一些漏洞性的入侵。当然网上也有相关知识,详细资料自己找
第一:查看编辑器版本
其相关默认路径如:

FCKeditor/_whatsnew.html
FCKeditor/editor/dialog/fck_about.html
FCKeditor/_samples/default.html

editor/filemanager/browser/default/browser.html?Connector=../../connectors/cfm/connector.cfm

editor/filemanager/connectors/asp/connector.asp
editor/filemanager/connectors/aspx/connector.aspx
editor/filemanager/connectors/php/connector.php
editor/filemanager/browser/default/browser.html


FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/qing.asp&NewFolder

标签:

b2

管理后台

b6

ad9

4a

杂谈

分类: 黑客

1.判断有无注入点
; and 1=1
网页正常



and 1=2 网页返回不正常

 

 

(2012-04-13 09:23)
标签:

cookie

sql注入

杂谈

分类: 黑客

   在扫描一些网站时,发现有一些网址有可以Cookies注入的方式,在网上查了相关资料,并在朋友的帮助下,做了一下小小的尝试,操作如下:

方法一:手动Cookies注入

 要知道,cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数已cookie方式提交了,而一般的注入我们是使用get或者post方式提交,get方式提交就是直接在网址后面加上需要注入的语句,post则是通过表单方式,get和post的不同之处就在于一个我们可以通过IE地址栏处看到我们提交的参数,而另外一个却不能。
     相对post和get方式注入来说,cookie注入就要稍微繁琐一些了,要进行cookie注入,我们首先就要修改cookie,这里就需要使用到Javascript语言了。另外cookie注入的形成有两个必须条件,

   条件1:是程序对get和post方式提交的数据进行了过滤,但未对cookie提交的数据库进行过滤。

   条件2:在条件1的基础上,还需要程序对提交数据获取方式是直接request('xxx')的方式,未指明使用request对象的具体方法进行获取。

下面来尝试一下:找到这个网站,发现其有Cookies注入

  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

新浪公司 版权所有