PHPCMS V9.6.0后台设计缺陷导致getshell

0x01背景

前几天瞎逛,碰到个phpcms,默认用户名密码都改了,试了试phpsso_server,phpcms + phpcms就上去了。。。
在网上还真找到一个利用方法

意外顺利的getshell,然而人家常备百度卫士,连cmd都不能执行。。。。
感觉这个漏洞没有文章说的那么鸡肋(两次登录),直接登录phpsso_server就好了,而且人们对于phpsso_server也不太重视,很容易使用弱口令,所以杀伤力还是很大的。

Continue Reading...

kali下vim的一些配置

手头的Python学习资料都是2.7版本的,但是我的物理机上装的是3.5。正好趁机练习一下神器vim的使用,原始的版本太简陋了,对于我这种用惯了重量级IDE的小菜,实在是难以适应。。。自己动手改造一波~~

Continue Reading...

python多线程cms识别工具

今天整理资料的时候看到了两个python写的cms识别工具,一个是基于ico和robots.txt进行识别,另一个是基于页面和robots加上特殊的url的关键字匹配,放假之前就有写一个指纹识别的意愿,正好有参考,动手!

Continue Reading...