一次歪打正着的edusrc挖洞 起因最近在忙着弄Hexo,经常收到edusrc上新礼品的通知,晚上闲的没事看看能不能投机取巧刷几分 寻找目标翻了一下最近几天的漏洞列表,发现大部分都是大佬用0day和通杀刷分 突然我发现了目标,说不定可以捡个漏 这种落单的乡镇中学的官网,一般只要不是使用的建站系统,都有洞可挖 打开fofa,直接复制学校名搜索一共四个资产,其中最后学校官网为第三方系统搭建,为了快速刷分直接放弃 开始挖洞 首先测试一 2024-04-19 漏洞 #edusrc #sql注入
LoveCards表白墙SQL注入漏洞 漏洞复现拿到站后开始对该表白墙系统进行常规渗透测试。在搜索页发现”等符号会被转义 然后后台跑了一波字典无果,正打算放弃,bp插件给我返回了一个err “You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax t 2023-10-20 漏洞 #sql注入
梦奈宝塔主机系统RCE A vulnerability about incorrect access control and remote code execution.The V1.5 version of the Monnai aaPanel host system(梦奈宝塔主机系统) has incorrect access control and remote code execution. 2022-12-22 漏洞 #RCE #POC
学习强国被爆出多个后门及漏洞 学习强国被爆含有包括信息收集、代码执行等多个漏洞及后门SGN-01-001 Information gathering (Assumed) SGN-01-002 File transmission and protection (Evident) SGN-01-003 Code execution and backdoors (Evident) SGN-01-004 Obfuscation for 2022-09-09 漏洞 #学习强国 #后门