869天 南柯一梦

忠于理想 面对现实

WordPress是如今使用最为广泛的一套内容管理系统。根据 w3tech 统计,全世界大概有30%的网站运行着WordPress程序。昨日RIPS团队公开了一个Wordpress的任意文件删除漏洞(需要登录),目前该漏洞仍然未修复(2018年06月27日),该漏洞影响 Wordpress 最新版 4.9.6.本文我们将结合 VulnSpy 的在线 WordPress 环境来演示该漏洞的利用。Vu...

phpMyAdmin是个知名MySQL/MariaDB在线管理工具,phpMyAdmin团队在4.7.7版本中修复了一个危害严重的CSRF漏洞(PMASA-2017-9),攻击者可以通过诱导管理员访问恶意页面,悄无声息地执行任意SQL语句。该篇文章我们将结合VulnSpy的在线phpMyAdmin环境来熟悉该漏洞的利用。在线 phpMyAdmin CSRF 演练地址:https://www.vul...

    Mozilla发布了Firefox浏览器的重要更新,修补了一个严重的漏洞,这个漏洞能让远程攻击者在受影响计算机上执行恶意代码。     这次更新是在Mozilla推出新Firefox Quantum浏览器(Firefox 58)之后的一个星期,它具有一些新功能,如改进的图形引擎和性能优化...

Emlog 是 "Every Memory Log" 的简称,意即:点滴记忆。它是一款基于PHP语言和MySQL数据库的开源、免费、功能强大的个人或多人联合撰写的博客系统(Blog)。基于PHP和MySQL的功能强大的博客及CMS建站系统。致力于提供快速、稳定,且在使用上又极其简单、舒适的博客服务。安装和使用都非常方便。目前 Emlog 正在受到越来越多的广大用户的青睐。 漏洞...

BurpSuite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HTTPS的web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是web安全人员的一把必备的瑞...

macOS又被爆出漏洞,最新版本的macOS High Sierra能让用户创建一个空密码的root账号,创建方法非常简单,只需要反复按键。 攻击场景是:用户没有锁定Mac就离开了办公桌。 攻击者通过反复案件就可以创建root账号,之后就可以登陆设备,root账号也可以被用来远程访问。 利用方法 1. 打开macOS系统设置 2. 移步...

0x00 简述 Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version2许可证下发行,是一个开源程序,目前使用SVN来做版本管理。 0x01漏洞概述 install.php一处if判断里直接处理了用户传入的序列化字符串,以及可以在现有框架...