2022年06月29日   温氏效应  
漏洞概述 Apache 披露了一个在 Apache HTTP Server 2.4.49 上引入的漏洞,称为 CVE-2021-41773。同时发布了2.4.50更新,修复了这个漏洞。该漏洞允许攻击者绕过路径遍历保护,使用编码并读取网络服务器文件系统上的任意文件。运行此版本 Apache 的 Linux 和 Windows 服务器都受到影响。此漏洞是在 2.4.49 中引入的,该补丁旨在提高 URL 验证的性能。...
查看全文
 2022年06月28日   温氏效应  
漏洞概述 Apache HTTPd 是Apache基金会开源的一款HTTP服务器。2021年10月8日Apache HTTPd官方发布安全更新,披露CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞。攻击者利用这个漏洞,可以读取到Apache服务器web目录以外的其他文件,或读取web中的脚本源码,如果服务器开启CGI或cgid服务,攻击者可进行任意代码执行。 影响版本 Apache HTT...
查看全文
 2022年05月27日   温氏效应  
level-1 基本Payload 直接在地址栏后面添加<script>alert('w328')</script>即可。 level-2 闭合标签 随便输入内容,提交后查看源码,此时直接写<script>alert(''w328)</script>是不行的,需要将之前的语句闭合。 在文本框或者地址栏后面增加"><script>alert('w328')</script>,成功 ...
查看全文
 2022年05月20日   温氏效应  
Pass-01 JS检查 创建PHP一句话木马文件, 上传被拦截。查看源码发现页面是通过前端JS方式就行的验证。那么我是通过以下两种方式上传上去的。 方法一: 浏览器禁用JS,刷新页面,直接上传PHPshell文件,上传成功。 方法二: 将PHPshell文件后缀改为.JPG或者其他图片格式,上传,BP抓包,修改JPG为PHP,发送后,可以...
查看全文
 2022年04月07日   温氏效应  
SQL Server Payload 1.1. 常见Payload Version SELECT @@version Comment SELECT 1 -- comment SELECT /*comment*/1 Space 0x01 - 0x20 用户信息 SELECT user_name() SELECT system_user SELECT user SELECT loginame FROM master..sysprocesses WHERE spid = @@SPID 用户权限 select IS_SRVROLEMEMBER('sysadmin') ...
查看全文
 2022年03月24日   温氏效应  
在做页面中经常需要通过锚点来控制页面内跳转,尤其是 返回顶部,如果采用传统的 #id的方式跳转,太过于生硬,一点也不丝滑。如果使用jQuery里的animate()动画效果,可给你带来完美的缓慢平滑滚动的效果。 jQuery 效果 – animate() 方法 animate() 方法执行 CSS 属性集的自定义动画。该方法通过CSS样式将元素从一个状态改变为另一个状态。...
查看全文
 2022年03月12日   温氏效应  
漏洞概述 描述: Typesetter CMS 内容管理系统是Php源码频道下深受用户喜爱的软件。 Typesetter CMS 存在代码问题漏洞,该漏洞源于允许管理员通过ZIP归档中的. PHP文件上传和执行任意PHP代码。 账号密码: admin/admin 解题过程 1、打开靶场环境,访问漏洞页面,并点击登录,用户名/密码:admin/admin 2、点击已上传的档案 这里...
查看全文
 2022年03月11日   温氏效应  
漏洞介绍 名称:Struts2 S2-013 远程命令执行漏洞 漏洞版本:Apache Group Struts 2.0.0 – 2.3.14 CVE标识符:CVE-2013-1966 描述:url和s:a标记都提供includeparams属性。该属性的主要作用域是了解包含或不包含http://request参数的内容。INCLUDEParams的允许值为:none-在URL中不包含任何参数(默认),get-仅在URL中包含get参数...
查看全文
 2022年03月10日   温氏效应  
漏洞介绍 名称:Tomcat-pass-getshell 弱口令 描述:Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。 通过弱口令登录后台,部署war包geshell 解题过程 1、打开靶场环境,并点击Manage App链接,通过弱口令登录平台,账号密码均为:tomcat ...
查看全文
 2022年03月07日   温氏效应  
漏洞介绍 名称:Struts2 S2-048 远程命令执行漏洞 CVE标识符:CVE-2017-9791 描述:Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。 攻击者构造恶意字段值(value)通过Struts2的struts2-struts1-plugin传递给被攻击主机,从而实现RCE...
查看全文
真是纱布擦屁股,给我漏了一手啊。