ECShop 4.1.4 SQL注入

in 网络安全 read (124)

0x01 介绍ECShop已经是个老牌的开源商城系统了,目前更新到了20210205的V4.1.4的版本。在4.1之后已经修复了之前爆出的一些SQL注入点,比如支付宝支付插件、HTTP的REFER头等注入点,本文将主要分享一个nday,但是截止最新版本中仍然存在的SQL注入...

继续阅读

MTCTF2021-Web,Crypto WriteUp

in 网络安全 read (152)

Web0x01 sql看样子是个老题,经过fuzz测试过滤了空格 ' " - ; < = >,这里有个trick是用\来转义SQL中后面的单引号,从而在password字段中能够进行注入。有个经常碰到的需要注意的是,记得加上binary来区分大小写的匹...

继续阅读

zzzphp <2.0.3 无条件RCE

in 网络安全 read (167)

本文对应的公众号文章 https://mp.weixin.qq.com/s/sY6LZfdSdoNSHJNzskfO0Q0x01 介绍今天看到一个360的安全研究员公开了一个zzzphp的洞(CVE-2021-32605),和之前挖的手上还没捂热的撞了,对国内小厂商的CMS...

继续阅读

摘要:事物的发展和运动是时时刻刻在进行的,因此对于事物运动规律的掌握、学习和利用是指导一切行为的方法论,特别是对于事物整体的把握。不论是对自然界规律的掌握和利用,还是对基于此产生的人类社会规律的掌握和改造,都需要进行综合结合考虑和研究,每一个细节的改变都会产生整体难以预计的...

继续阅读

yunsle

yunsle|云勺|安全技术|CTF|WEB安全|网络安全