夜火博客 个人的碎碎念收集箱

浅析LxBlog V6变量未初始化漏洞

浅析LxBlog V6变量未初始化漏洞》作者:Flyh4t

本文已经发表在黑客防线,转载请署名

Lxblog 是 PHPWind 开发的一套基于 PHP+MySQL 数据库平台架构的多用户博客系统,强调整站与用户个体间的交互,拥有强大的个人主页系统、独立的二级域名体系、灵活的用户模板系统、丰富的朋友圈和相册功 能。但是该blog系统在安全性上并不让人满意,本文就来分析lxblog一个变量未初始化造成的sql注入漏洞

eWebEditor v6.0.0 版本漏洞

今天和静流聊天,他说eWebEditor v6.0.0出了最新漏洞。于是就是检测一下,这个程序爆漏洞一般都是直接上传的漏洞,不过没错 就是上传漏洞。首先在本地搭建一个ASP环境重命名一个木马名字例如:1.gif.asp这样的就OK了。

那么接下来完美本地搭建一个环境你可以用WEB小工具搭建一个,目的就是让远程上传。

【这里如果上传asp文件的话,使用IIS的话,应该取消asp的解析,使其成为一个可以下载的asp文件,如果解析了,可能就只是解析后的html文件了,Neeao注】

......

IE 7 Exploit MS09-002内存破坏漏洞利用程序

:浏览本文杀毒软件可能会报毒,夜火的瑞星是报了,不过 IE 7 Exploit MS09-002内存破坏漏洞利用程序 的JavaScript代码是直接以文本形式贴出来的,不会运行,大家可以放心浏览

Microsoft IE CFunctionPointer函数内存破坏漏洞(MS09-002)
发布时间:2009-02-10
影响版本:
Microsoft Internet Explorer 7.0

漏洞描述:
BUGTRAQ ID: 33627
CVE(CAN) ID: CVE-2009-0075

Comment by Friddy:
这个实际不是个破坏内存的漏洞,可以利用这个漏洞执行任意的代码。
今天我花了十几分钟修改了miliw0rm的只会造成DOS的POC,现在已经可以较为稳定执行任意代码。