分类 安全之路 下的文章

【后续】办完信用卡竟然被诈骗了数万元?揪出幕后黑手!根据成都无糖信息(专注反诈多年)爆料,该网站是一套名为黑科技钓鱼王的程序,并提供给了笔者该网站的程序和受害者的数据。*成都无糖信息技术有限公司(以下简称无糖信息),致力于反网络犯罪领域的安全技术研究及产品研发,为公安、网信、运营商、银行、通管互联网电商等机构与组织提供 高效专业的网络犯罪情报分析服务和解决方案。无糖信息是以国内领先的安全团队...

办完信用卡竟然被诈骗了数万元?揪出幕后黑手!起因是笔者的同学打电话给我,告诉我他一个战友被骗了2w了,大概过程是头一天有工商银行的去他们单位组织办信用卡,第二天他战友收到了一条信用卡提额的诈骗短信,钓鱼网站竟然也打着工商银行的旗号,这也太巧了?打开短链接指向 http://m.lcdbcit.cc打开一看就是一个钓鱼网站,有俩个入口,一个是申请信用卡,一个是信用卡提额点击了信用卡提额后,发现...

DiscuzX 3.4 Phar反序列化漏洞0x1 前情提要DiscuzX的反序列化比较鸡肋,没有任何可利用的点,只能算一个bug。刚看到一片文章,就是在对phar文件进行操作的时候可以导致反序列化,然后我就对php内置函数进行了测试,发现80%的常用文件操作都能导致触发phar的反序列化,我一共测试了如下函数,都可以触发。 var_dump(file_get_contents('phar:...

ThinkPHP 3.x 表达式注入绕过强制大写最近遇到一个thinkphp3的站,他用的tp版本比较低,正好存在很久以前的表达式注入https://wystatic.tuisec.win/static/bugs/wooyun-2014-087731.html但是通过分析注入发现,他会把表达式的内容进行了大写,所以导致linux的mysql因为某些情况下表名会敏感大小写,所以导致不能读取表的...

0x1 漏洞分析在最新的phpMyAdmin上修复了几个漏洞,其中一个是:本地文件包含(CVE-2018-19968) -至少从4.0到4.8.3的phpMyAdmin版本就有一个本地文件包含漏洞,可允许远程攻击者通>过转换功能从服务器上的本地文件中获取敏感内容。“攻击者必须能够访问phpMyAdmin配置存储表,尽管可以在攻击者访问的任何数据库中轻松创建这些表。攻击者必须拥有有效的凭...

Top