CVE-任意文件读取靶标复现CVE-2014-4577(WordPress)CVE-2018-16283(WordPress)CVE-2018-20604(lfdycms) 雷风影视CMS是一款采用PHP基于THINKPHP3.2.3框架开发,适合各类视频、影视网站的影视内容管理程序,该CMS存在缺陷,可以通过 admin.php?s=/Template/edit/path/*web*..*..*..*..*1.txt 的方式读取任意文件。
Linux命令目录结构介绍 目录名称 功能说明 bin binary 的缩写,存放常用命令(如 ls, cp, mv)。 boot 存放 Linux 启动时所需的核心文件。 dev device 的缩写,存放设备文件(如硬件接口)。 etc 存放系统配置文件及子目录(如网络配置、用户配置)。 home 存放普通用户的主目录(如 /home/username)。 lib library 的缩写,存放动态库文件供应用程序调用。 lost+found 系统非法关闭后,恢复的文件存放于此(通常为空)。 media 自动挂载可移动设备(如 U 盘、光驱)。 mn
git安装可以参考其他安装教程 在git bash中时可以使用linux命令的,因为linux和git都是同一个人开发的 Git 常用命令 命令名称 作用 git config –global user.name xxx 设置用户签名 git config –global user.email xxx@xx.com 设置用户邮箱,虚拟邮箱,可任意设置,无验证 git init 初始化本地库 git status 查看本地库状态 git add xxx 添加暂存区 git rm –cached xxx 从暂存区中删除 git commit -m “日志信息”
OutGuess 工具介绍OutGuess 是一款用于隐写术(Steganography)的开源工具,主要用于在图像文件中隐藏和提取秘密数据。它支持多种图像格式(如 JPEG、PNG),并采用先进的算法确保数据隐藏后不会显著改变图像的外观,从而避免被检测。 1. OutGuess 的主要功能(1)数据隐藏 将文本、文件或其他数据嵌入到图像中,不影响图像的视觉质量。 支持JPEG格式(最常用),也可用于其他图像格式。 使用密钥(密码)保护隐藏的数据,提高安全性。 (2)数据提取 从已隐藏数据的图像中提取原始信息。 需要正确的密钥才能解密提取的数据。 (3)抗检测能力 采用统计不可见性(Sta
kali虚拟机中配置外网 主机:Windows11 虚拟机:kali 使kali能访问外网,包括从github上下内容等操作,其他linux操作系统也可进行参考。 1、在clash的设置中打开局域网连接 2、将kali的网络适配器设置为桥接模式 3、使用ipconfig查看主机(win11)的IP地址 4、使用Kali中内置了ProxyChains开源代理工具,在配置文件/etc/proxychains4.conf 中[ProxyList]下面添加http、主机的IP、clash的代理端口 123[ProxyList]#服务 IP 代理端口http 192.168.10.1
SSTI模板注入漏洞成因SSTI(Server-Side Template Injection),即服务器端模板注入,是一种特定的安全漏洞。其原理和特点主要包括以下几点: 模板引擎机制:模板引擎的作用是将动态数据与静态模板结合生成最终的输出内容。它们通过替换指定的标签或执行某些代码片段来实现这一过程。 用户输入处理:当构建这些模板时,如果服务端未对用户输入进行正确的过滤和转义,恶意用户可能会插入一些特殊的代码片段。这些代码片段在模板引擎渲染过程中被执行,可能导致不安全的代码或命令被执行。 注入的本质:就像SQL注入允许攻击者通过构造特殊的输入来干预数据库查询一样,SSTI允许攻击者干预模板渲染
