"王松_Tuuu" 发布的文章

  • 《C Primer Plus》随书习题 - C语言概述

    我要开始学习C语言啦,总是断断续续的。@周梦禹 师傅推荐我在博客写上一个C语言系列文章,然而这对于一个新手来讲,太难了。因为知识储备太少,想系统性的写C系列的文章太难了。所以我就来把《C Primer Plus》的课后习题做出来,然后把答案发出来吧(前面的习题简单,后面的习题不知道会不会难到我吐血 2333)。我看的这本是《C Primer Plus》第六版中文版。(不要问我为啥不看英文版!...

  • 浅谈Discuz插件代码安全

    目录Discuz介绍Discuz插件介绍结合实例讲解Discuz插件安全结语Discuz介绍Crossday Discuz! Board(简称 Discuz!)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来,Discuz!已拥有15年以上的应用历史和200多万网站用户案例,是全球成熟度最高、覆盖率最大的论坛软件系统之一。目前最新版本Discuz! X...

  • Chrome中“自动填充”安全性研究

    昨天看到了一篇关于Chrome自动填充安全相关的文章。文章中提到:“自动填充是个非常方便地浏览器特性,不过该特性在 Chrome 上也会存在一定的信息泄露的风险。Chrome 最近才修复了某个久负盛名漏洞。简单而言,黑客能够利用自动填充窃取你并不想提交给该网站的信息”效果如下图:并提供了一段js来演示漏洞:var autocompletes = ['name', 'honorific-pre...

  • 2016 summary

    时间过得真快,不知不觉又到年底了,今天是2016年12月31号。昨天跟对象一起去做了体检,基本没啥大问题,就等验血的结果了,今天也请假休息了一天。有个朋友今天晚上来找我玩,又是要通宵打LOL的节奏呀~明天晚上公司要跨年去嗨,所以趁着今天赶紧把16年的年度总结写出来。去年也写年度总结和计划了,但是后来觉得自己没有用心写,就删掉了。工作相关2016年工作的转折点是从360主机卫士离开,来到了36...

  • 使用burpsuite对基础认证进行爆破

    很多小伙伴不知道怎么使用burpsuite对基础认证进行报错,这次工作中遇到了,刚好写篇文章记录一下,更是为了分享给不知道的小伙伴。基础认证有的人可能不知道基础认证是啥,但我相信你一定在实战中遇到过,比如tomcat的manager平台的登录验证:基础认证的数据包跟往常的POST和GET的包认证方式不一样,他的请求包是像下面这样的格式:GET /manager/html HTTP/1.1 H...

  • FineCMS前台getshell

    FineCMS企业网站管理系统(简称免费版或企业版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定义字段,可面向中小型站点提供重量级网站建设解决方案,适用于小型站点、企业级网站、新闻内容网站等。漏洞概要finecms某处过滤不严格,导致可上传任意脚本文件。漏洞详情依旧是Attachme...

  • Zabbix SQL注入漏洞分析

    zabbix sql注入漏洞爆出来已有好几天了,最近忙于安全盒子用户中心的设计,一直没有去研究这个注入,今天早起,闲暇时间写下该文。zabbix简介zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。影响版本2.0.x3.0.x我这里的分析的版...

  • 在Docker中运行Kali Linux/Metasploit

    前几天爆出来一个zabbix的漏洞,想研究研究,看到群里别人搭建似乎很麻烦的样子,于是打算用Docker来搭建研究环境。首先去Docker Hub搜索了一发zabbix:有好几个版本,也有我们想要研究的存在漏洞的版本。好吧,似乎偏题了,这篇文章要讲的是在Docker中运行Metasploit。笔记本换成Mac有一段时间了,之前本机装了metasploit,也跑起来了但是后来因为各种ruby的...

  • Learn Redis & Getshell via Redis

    前言redis是一个NoSQL数据库,也就是非关系型数据库(MySQL是关系型数据库),是一个基于内存,的key-value型数据库,当然他也可以保存到硬盘达到持久型。因为看各位师傅都在发关于redis相关的东西,企业中用的也不少,所以简单研究一下redis的用法以及用它来getshell。安装redis在Ubuntu下安装redissudo apt-get install redis-se...