搜狐网SQL注射等几个漏洞
搜狐网SQL注射等几个不入流的漏洞,大牛贱笑了! 1、SQL注入 http://go.sohu.com/2012/kongtiao/works.php?works=81 2、后台泄露 http://svn.go.sohu.com/pmis/factory/login.php SOHU--CMS系统--文件管理 http://cms.k.sohu.com/server/login.jsp 搜狐快递C…
织梦最新漏洞收集
1、http://www.123.com/plus/feedback.php?aid=11552 参考:http://www.wooyun.org/bugs/wooyun-2013-017816 POC: http://www.123.com/plus/feedback.php?validate=ZFCU&action=send&comtype=comments&fid=1…
无意中发现杭州网的严重SQL注射漏洞
上午想查一下个人医保情况,无意中点到一个链接,习惯性检测了一下,吓一跳 SQL注入点:http://web.hangzhou.com.cn/hwyst/question.php?question_id=120111104949 确定有注入,果断操起Havij,竟然是root跑的,有木有? 由于该网是杭州地区唯一的新闻门户网站,由中共杭州市委宣传部、杭州日报报业集团和杭州广播电视集团共同组建的杭州网…
爱丽国际漏洞大礼包,可沦陷服务器
话说某天找dede模板,看到爱丽网模板很华丽很火,遂萌生检测念头,以下内容为记: 爱丽国际集团下有很多大型的门户类行业网站,据初步检测包括:aili.com、27.cn、qilincar.com(爱丽国际旗下麒麟车讯网)、533.com(533出国留学网)、9718.com(爱丽摄影团)、www.aimabz.com/www.86gw.com(北京婚庆网)、www.hongxiutuan.net(…
phpMyAdmin报错“无法在发生错误时创建会话”
1、首先要确保你的apache正常运行,使用下面的代码看看能否正常显示。 <?php   echo phpinfo();   ?> 2、确保Mysql已经正常启动 3、在PHP的文件夹中建立一个文件夹temp,并复制该文件夹真实路径,我的完整的路径是:E:/www/php-5.2.14-Win32/temp 4、在E:/www/php-5.2.14-Win32文件夹中找到php.ini…
ECshop支付方式0day及EXP
原漏洞分析:http://www.hackline.net/a/news/ldfb/web/2011/0105/7877.html respond.php?code=tenpay&attach=voucher&sp_billno=1 and(select 1 from(select count(*),concat((select (select (SELECT concat(0x7…
HTTP状态表
一、成功2XX 释义:成功处理了请求的状态码 【200】服务器已成功处理了请求并提供了请求的网页。 【204】服务器成功处理了请求,但没有返回任何内容。 【重定向3XX】每次请求中使用重定向不要超过 5 次。 【301】请求的网页已永久移动到新位置。当URLs发生变化时,使用301代码。搜索引擎索引中保存新的URL。 【302】请求的网页临时移动到新位置。搜索引擎索引中保存原来的URL。 【304…
IIS、Nginx、Apache等Web平台解析漏洞总结
一、IIS 6.0 目录解析:/xx.asp/xx.jpg  xx.jpg  可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码 IIS6.0 会将 xx.jpg 解析为 asp 文件。 后缀解析:/xx.asp;.jpg     /xx.asp:.jpg(此处需抓包修改文件名) IIS6.0 都会把此类后缀文件成功解析为asp 文件。 参考:IIS 文件名解析漏洞扼要分析 {/x…
phpwind v7.5无法在IE9下注册
打开js/pw_ajax.js,找到以下代码: load : function() { if (is_ie) { ajax.request.responseText = (typeof ajax.request.iframe.contentWindow.document.XMLDocument != 'undefined') ? ajax.request.iframe.contentWindow.…
新网漏洞大集合
新网(www.xinnet.com)成立于1993年,是香港联交所上市公司中国数码集团旗下的国内顶级的互联网基础应用服务提供商。业务范围包括域名注册服务、主机服务和电子邮箱服务等。 漏洞说明: 1.Fckeditor编辑器漏洞 话说,2011年某月某日,入手的域名快到期了,于是登陆新网准备续费,貌似网站刚改版,手贱看了下banner图片链接http://hymanage.xinnet.com/cl…