PJBlog 3.2.9.518 getwebshell 漏洞

2012年5月9日 不走的钟 1 条评论

作者:不走的钟 版本:PJblog 3.2.9.518(2012/5/9日时为最新版本) 漏洞利用条件: 1、使用全静态模式(默认情况是全静态模式) 2、用户可以发帖(默认普通用户不能发帖,所以有点鸡肋) 漏洞描述:PJblog 3.2.9.518使用js过滤特殊字符,在使用全静态模式下,普通用户发帖即可插入asp一句话木马。

注入漏洞利用工具模板 For PHP

2012年3月13日 不走的钟 2 条评论

        今天有朋友在blog上问,这种漏洞存在,但究竟如何利用?(见原文)因为你提交字符后会跳转到index.php,这种注入,手入是没办法的,需要借用第三方工具或者自己写,我翻了下硬盘,N久以前写过类似的代码,扔出来大家可以参考,大家可以在这个基础上稍做修改便可使用:

安全是相对的-Chrome浏览器最终被黑客攻破

2012年3月8日 不走的钟 2 条评论

         还记得之前Google悬赏百万美元来让大家黑Chrome的消息吗?现在Google真的要乖乖掏这笔钱了。在正在举行的Pwn2Own年度黑客大赛上,Chrome不幸成为了第一个被黑客攻破的浏览器。         Pwn2Own是CanSecWest在温哥华组织的一年一度的网络系统安全大会,大会上黑客们可以通过系统本身的漏洞破坏系统的安全防护从而完全控制系统。虽然在过去三年的Pwn2Own大会上,Chrome是唯一 一个没有被攻破的浏览器。但这次比赛刚刚开始5分钟,Chrome就被上届第一个攻破Safari浏览器的Vupen黑客团队破解。

PHP 代码安全审计——程序员容易忽略的安全问题-注入篇

2012年2月20日 不走的钟 7 条评论

程序员主要考虑功能设计,但往往忽略了程序的安全性,最近在项目中审计PHP代码时,遇到二个简单而很多程序员都容易忽略的问题,安全问题不容小视,往往微小问题便可导致全站覆没,看下边代码:

中文版Putty 后门分析

2012年1月31日 不走的钟 2 条评论

今天IT行业微博热点 中文Putty多款软件存在后门,有的说被绑马,有后门众说纷纷。简单地说软件后门可以分为二种: 一、正常软件与木马进行捆绑,当用户运行软件时,木马或者病毒自动运行,用户不知不觉便中了招。 二、在软件代码中加入了特殊代码,让软件有“特别”的功能,如发送口令到指定服务器,完成木马功能。

AIX “ld: 0711-317 ERROR: Undefined symbol: .sqrt ”解决方法

2012年1月21日 不走的钟 没有评论

AIX5.3、AIX6.1编译Apache的时候提示如下错误: ld: 0711-317 ERROR: Undefined symbol: .sqrt ld: 0711-345 Use the -bloadmap or -bnoquiet option to obtain more information. collect2: ld returned 8 exit status make: 1254-004 The error code from the last command is