宝塔 WAF 最新版 SQL 注入漏洞,可直接获取数据库权限
接上篇文章,在测试宝塔 WAF 的未授权访问漏洞时无意间还发现了一个 SQL 注入漏洞,品相还不错,可执行任意 SQL 语句。 总之,吃了一惊,一个防 SQL 注入的工具居然也有 SQL 注入漏洞。 请看这...
安装PHP8.0出错
安装8.0 8.1君出错!秒完成!zip/tests/oo_addemptydir.phptzip/tests/oo_addfile.phptzip/tests/bug53603.phptzip/tests/oo_cancel.phptphp.sh: line 150: /www/server/php/80/bin/phpize: ...
红队技术 – 免杀木马捆绑器分享
免杀木马捆绑器分享 在实战钓鱼过程中,常常需要把木马伪装成正常的文件,如果文件运行之后没有任何反应,会引起对方的怀疑 这时候就需要木马捆绑器,释放准备的正常文件,降低对方的戒心,下面...
Auto Telegram 商业版 v1.3.3.7 完全激活
Auto Telegram 商业版完整激活 电报机器人 如何抓取 Telegram 群组成员? 在 (web.telegram.org)(旧版本)上登录您的 Telegram 帐户 单击要抓取的组 设置您要抓取的用户名数量 单击开始抓取 完...
漏洞复现-CVE-2024-32640
一:漏洞名称 Mura CMS processAsyncObject SQL注入漏洞 二:漏洞描述 Mura CMS是一款开源的内容管理系统(CMS),它旨在简化创建和管理网站、博客和应用程序的过程。Mura CMS具有直观的用户界...
漏洞复现-CVE-2024-1561
一:漏洞名称 Gradio应用程序-本地文件读取漏洞 二:漏洞描述 Gradio是一个用于构建快速原型和部署机器学习模型的Python库,提供了简单而强大的界面。它可以将模型转化为交互式应用程序,并支持...
红队技术 – 用友 nc 写 shell 方法
平常遇到用友 nc rce 可以通过 exec 进行命令执行,但在不出网的场景下则需要其他方法 首先生成一个哥斯拉的 jsp 木马,然后进行 unicode 编码 再把输出结果进行 url 编码 最后发送数据包如下 S...
