Sky安全·Blog

我们在创作安全的未来!

欢迎来的我们的博客!

Sky安全团队长期在各大SRC平台开展自己的骚操作。欢迎大家...

阅读全文>>


Discuz 3.4 越权登陆漏洞

概述:
Discuz是一个通用的社区论坛软件系统。最近看到一个Discuz逻辑漏洞,该漏洞源于Discuz微信登陆功能。Discuz 3.4默认安装了微信登陆。利用这个漏洞攻击者可以越权登陆论坛其他会员的账号甚至是管理员账号,主要还得看脸。

漏洞分析:
Discuz3.4 默认安装微信登录,如果用户点了一下绑定微信,但没绑定,会写入common_member_wechatmp,wechat.inc.php 230行附近,会取出第一个用户,然后重复使用这个tmp,但是在取出后,seloginstatus($number,1296000);就会导致可以 越权上一个用户

阅读全文>>


一个Stelegarm上的社G库机器人

打开Stelegarm正常输入手机号码注册。然后就去搜索账号...

阅读全文>>


二开国内跨平台网站管理工具-C刀

自己动手二开的工具CkNife,支持所有系统。 ...

阅读全文>>


对江苏某集团官网的二次检测

Everbody,我是来自Sky安全团队的KaMi

上次我们对这个官网进行了一次漏洞挖掘,发现了贵站的数字型SQL注入,然后我听说他们换了一个官网,二话不说我们在进行一次二次挖掘。

阅读全文>>


分享自己改的一款DeDeCMS利用工具

一款DeDeCMS的利用工具,主要是

recommend.php文件的注入。

阅读全文>>


BurpSuite_Pro_v2.0beta破解过程-详细

burpsuit是一款强大的神器,具体的使用方法就不提了。我们就写一下详细的破解过程。这一款适用在java1.8

阅读全文>>


BurpSuite_Pro_v2.0beta抢先测试版

BurpSuite Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。迭代更新不断,到了今天已经是2.0版本,虽然不是正式版本,但还是有很多小伙伴按耐不住,先放出来供大家测试…

阅读全文>>


Powered by SKY·SECURITY

那些一起闯荡的友站:

Lamicaの部落格 || DYBOY'S Blog
sitemap
正在加载中……