k8-struts2-exp-20160618struts2综合漏洞利用工具
K8 Struts2 综合漏洞利用工具 (Apache Struts Remote Code Execution Exploit) Struts2漏洞检测工具 Struts2漏洞测试工具 K8 struts2 exploit Test Struts2 GetShell 支持漏洞 (S2-045 devMode S2-032 s2-020 s2-019 s2-016 s2-013 s2-009 S2-005)声明:工具仅供安全检测或网络攻防研究,非法用途后果自负.功能: [+]新增任意文件上传小马 (解决S2奇葩环境菜刀无法上传文件 & 乱码问题) ...
PHPCMS v9.6.0 任意文件上传漏洞分析
Author: p0wd3r (知道创宇404安全实验室)Date: 2017-04-120x00 漏洞概述漏洞简介前几天 phpcms v9.6 的任意文件上传的漏洞引起了安全圈热议,通过该漏洞攻击者可以在未授权的情况下任意文件上传,影响不容小觑。phpcms官方今天发布了9.6.1版本,对漏洞进行了补丁修复.漏洞影响任意文件上传0x01 漏洞复现本文从 PoC 的角度出发,逆向的还原漏洞过程,若有哪些错误的地方,还望大家多多指教。首先我们看简化的 PoC :import re import requests def poc(url): u = '{}/index.php?...
PHP 危险函数 列表
大家装了php以后就是怕遇到应用漏洞和平台漏洞导致服务器背黑,幸好php 可以设置屏蔽危险函数,一下是我整理的一些危险函数以及函数的作用,供大家参考。设置方法在php.ini文件里面找到一个配置项叫 disable_functions,注意,要写在同一行才能生效。php.ini在哪? php.ini文件缺省放在/usr/local/lib上面,但是可以在编译的时候使用--with-config-file-path参数来修改php.ini的存放位置。例如,你可以使用--with-config-file-path=/etc把php.ini存放到/etc下面,然后可以从源码包中拷贝php.in...
畅谈阿里月饼事件
这几天最火的莫过于阿里月饼事件~几个小伙子为了抢月饼最后被开除了。首先对阿里的行为我不是很赞同,然后就是对小伙子的做法也不赞同~做事情分场合分情景,拿捏好度!首先能看到的是云舒说这是geek精神,然后就有很多跟风的,然后很多人都是说阿里不珍惜人才以后咋样咋样,我只想说这样想的网友们,看事情看全面在下结论。首先筹划一个活动需要人力物力甚至一些开发成本,其次公司是以活动来做的,可能做的时候只是想为公司内部员工一些福利而已。几个孩子他们也是为了自己利益做的这个事情,对,有人说没付款~还重要吗?因为你几个人的情况导致参与活动的同事缺少了机会,对你找行政退回,难道你再让活动主办人吧你抢的数量在修改...
手持身份证那些事
这几天网上到处都在说手持身份证的事情,其实这早就是公开的秘密了。我们的信息就是一只这样满天飞。从出生到结婚生子我们向不同的人不同的组织提交了我们这一生所有的资料,从医院到运营商到报名机构到学校到gov等等。淘宝开店需要手持身份证,后来其他网站也效仿这个要求,再后来网上可以办手机卡,办手机卡要求不高只要有手持身份证和正反面就可以,现在好多需要个人认证的地方都需要手持身份证了。用户要使用这些网站提供的功能就必须提供这些资料,其实这只是冰山一角,还有一些必须提供手机号必须激活验证、邮箱激活验证,这样保证我们所有的数据都是真实的而且都储存到他们的服务器上。突然想起了之前去世的那个女孩,一个涉世未...