-
入侵网站webshell提权服务器20种思路
现在由于各路大神共享公开网站程序的一些Oday漏洞,使用我们获得网站webshell 比如动网常见的上传漏洞 各种网站的sql注入漏洞,爆库漏洞,溢出漏洞 等等。。 然而仅仅获得网站的webshell已经不能满足我们的需求,想通过webshell进一步获得网站的服务器的管理员权限。 下面小残在这里为大家介绍本人收集的常见的20种webshell提权思路。 1,SER-TU提权(通常是利用SERFTP服务器管...阅读全文阅读全文
-
Mysql 漏洞利用(越权读取文件,实战怎么从低权限拿到root密码)
cnrstar (Be My Personal Best!) | 2014-05-20 21:58 众所周知,Mysql的用户在没有File权限情况下是无法通过Load_file读文件或者通过into dumpfile 或者into outfile去写文件,但是偶尔在一个网站上发现个小技巧,也就是通过load data infile可以读取本地文件到数据库,这样子我们就可以在低权限下通过这个bug去读取服务器上的文件。代码如下: LOAD DATA L...阅读全文
-
对小米论坛泄露数据的一次分析 密码成功破解率高达37.8%
对小米论坛泄露数据的一次分析 密码成功破解率高达37.8% 猪猪侠 (A) | 2014-05-14 13:20 泄露数据的条数 8281387条 具体被脱裤时间 2012-06-15 14:08 开始被传播时间 2014/5/13 15:51 上传百度盘时间 2014-5-13 21:29 密码破解成功率 取样记录数:1000 条 取样成功数:378 条 取样成功率:37.8% 数据被打包时间为:2014/5/13 15:51,本次测试将取样1000条密码为样本进行破解; ...阅读全文
-
小米论坛800W数据库下载地址
小米官方论坛数据于5月13号遭受泄露,被泄露数据量为8281387(约800万条)。经过数据分析和比对,Pop发现此次泄露的数据均为2012年8月前注册的论坛账号信息。 这次泄露的数据采用独立Salt单向哈希值加密,但是简单的密码仍然可能被迅速破解。 泄露数据为xiaomi.rar里面含有(xiaomi_com.frm、xiaomi_com.MYD、xiaomi_com.MYI)这三个文件 File: xiaomi_com.frm Size: 8690 ...阅读全文
-
Google-Hack 渗透详细过程
利用google完全是可以对一个站点进行信息收集和渗透的,下面用google对特定站点进行一次测试。 ————————————————————————————————————— 首先用google先看这个站点的一些基本情况(一些细节部分就略去了): site:xxxx.com 从返回的信息中,找到几个该校的几个系院的域名: http//a1.xxxx.com http//a2.xxxx.com http//a3.xxxx.com http//a4.xxxx.com 顺便ping了一下,应该是在...阅读全文