• 本题考察的是PHP反序列化碰上auto_register导致的安全问题。 0x01 找到源码 目标http://24caf446e2bb0e659.jie.sangebaimao.com/首先扫描发现其包含.git目录,但访问/.git/index发现没有这个文件,可能是被破坏了。用lijiejie的工具无法还原,但用某些工具还是可以办到的,详见:这篇文章, 这里就不再赘述,用某工具直接还原源码: 0x02 getshell 首先通读源码,发现有几...
    作者:熊猫| 发布:2015年11月25日| 阅读:2,730次| 分类:代码审计, 网络安全| 标签:,
  • 0x01 入口:二次注入漏洞 此题入口点是二次注入。 在common.inc.php中可以看到全局进行了转义,这样常规注入少了大部分。遍观代码,输入处没有任何反转义、反解压、数字型等特殊情况,基本可以确定不存在直接的注入漏洞。 看到上传处的代码upload.php: $name= basename($file["name"]); $path_parts= pathinfo($name);    if(!in_array($path_parts["extension"], ["gif",...
    作者:熊猫| 发布:2015年11月25日| 阅读:2,550次| 分类:代码审计, 网络安全| 标签:,
  • 全球最大黑客组织“匿名者”今天再次宣布了“对ISIS网络作战”的最新战果。 此前“匿名者”已经截获了3800多名ISIS相关人员的Twitter账号,也就是说,该组织现手上总共有5500多个ISIS成员账号。现在“匿名者”开始逐步公开这些成员的名字和个人信息。 一个被称为RedCult的“匿名者”分支组织发布了这份公开名单,这份名单中包含了1000个左右的Facebook和Twitter账号,以及已经在今年2...
    作者:熊猫| 发布:2015年11月20日| 阅读:2,287次| 分类:业界资讯| 标签:,
  • 熊猫博客从今年2月份博客就关闭了,今年10月多才重新上线的,百度以前收录的那么多都不复存在了。现在熊猫博客又换了一个域名:www.chnpanda.com ,众所周知用一个新域名来讨好百度蜘蛛是要付出很大努力的,由于我以前的域名还有两个月,我想是否可以从以前域名的收录权重什么的来转到新域名上,先解析了旧域名,收录也算快,刚上线就收录了几页,但是也就是那昙花一现,以前...
    作者:熊猫| 发布:2015年11月16日| 阅读:2,367次| 分类:seo优化, 网站建设| 标签:,
  • 经过漫长的内测后,熊猫TV(Panda TV)终于在迎来了公测。可能由于人气太旺的原因,没上线多久就出现了报错等各种情况,熊猫TV技术团队显然低估了访问人数。 据悉,熊猫TV公测开启后没过多久,再次访问熊猫TV就开始报错,许多网友就反映无法登陆,手机端也不能正常运行。15:45左右,网友陆续可以登陆网站并进入直播间,但仍存在弹幕系统失效,聊天室中无法显示用户名,新用...
    作者:熊猫| 发布:2015年11月02日| 阅读:2,289次| 分类:业界资讯| 标签:,