登录

0x0的文章

浸淫安全圈多年的newbie
exploit-poc

S2-045(poc)(exploit),CVE-2017-5638(poc)(exploit) Apache Struts2 曝任意代码执行漏洞

S2-045(poc)(exploit),CVE-2017-5638(poc)(exploit) Apache Struts2 曝任意代码执行漏洞
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。 CVE-2017-5638 Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。 实际上在default.properties文件……继续阅读 »

5个月前 (03-07) 928浏览 10评论 3个赞

个人笔录

文章用于测试最新的wp漏洞:WordPress最近曝出内容注入漏洞,影响到REST API

文章用于测试最新的wp漏洞:WordPress最近曝出内容注入漏洞,影响到REST API
这几天太忙了! 是这一个月! 前几天看到wp出了新漏洞 可以修改指定文章内容,然后没用其他卵危害。 于是专门没用升级到最新版,留下这个4.7.1版本来测试下漏洞是否存在。 WordPress最近曝出内容注入漏洞,影响到REST API——来自Sucuri的安全研究人员最先发现该漏洞。未经授权的攻击者利用该漏洞可注入恶意内容,以及进行提权,对文章、页面等内容……继续阅读 »

6个月前 (02-08) 275浏览 2评论 2个赞

php/asp/jsp/html

密码保护:根据百度地图API写了个查询IP高精度详细地址的PHP单页+python版

密码保护:根据百度地图API写了个查询IP高精度详细地址的PHP单页+python版
下面好几个朋友问,百度哪来的高精度IP,还有说抓现成库的。 问题是现成的库是不准确的,不更新的,而PPPOE拨号的IP是一个地区随机分配用的。 而这个API的可以做到精度几十米甚至十几米。 以下原理纯属意淫,各位看看就散了吧。 原理是这样的,打个比方: 苦逼的我,手机上安装了百度地图APP,我跑到帝都天安门连了一下那里的WIFI。 这个时候我的手机上传到……继续阅读 »

8个月前 (12-08) 492浏览 0评论 2个赞

奇淫巧技

利用redis写webshell

利用redis写webshell
redis和mongodb我之所见 最近自己在做一些个人的小创作、小项目,其中用到了mongodb和redis,最初可能对这二者没有深入的认识。 都是所谓的“非关系型数据库”,有什么区别么? 实际上,在我看来,redis的角色更接近于memcache,而mongodb是一个真正的数据库。 redis是一个key-value型数据库,信息以键对应值的关系存储在……继续阅读 »

8个月前 (12-08) 364浏览 0评论 2个赞

实用工具

burpsuite_pro_v1.7.11.zip burp最新版泄露下载

burpsuite_pro_v1.7.11.zip burp最新版泄露下载
最新版的burp1.7.11泄露了,博主几天前拿到,一直没时间更新,今天更新一下。 BurpSuite是一款信息安全从业人员必备的 集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通过拦截HTTP/HT……继续阅读 »

8个月前 (12-08) 399浏览 0评论 2个赞

实用工具

HttpDdos V3.0,高度自定义Attack 网站ddos cc攻击工具

HttpDdos V3.0,高度自定义Attack 网站ddos cc攻击工具
本次更新支持POST参数设置随机值,举个最简单的例子,利用该工具设置好目标网站注册POST参数之后,通过[随机数字]设置变量。可以实现不停的CC攻击网站注册系统,短时间内对数据库进行大量读写操作并产生大量垃圾用户塞满数据库。 中小型网站可秒死。 具体更多功能各位可以自行开发 该工具则是在本人多年的应用层攻击处理经验上总结出的工具。headers参数全部可以……继续阅读 »

9个月前 (12-02) 388浏览 0评论 5个赞