php安全

admin 11年前 (2014-07-09) 1994浏览 0评论

Easter Eggs(复活节彩蛋)外行人估计不了解这是神木玩意，彩蛋的网络解释是:用于电脑、电子游戏、电脑游戏、影碟或其他互动多媒体之中的隐藏功能或信息。PHP包含一个安全漏洞，可能导致未经授权的信息披露,如果你正在运行PHP，就有可能会被人发现P...

admin 11年前 (2014-07-09) 13016浏览 1评论

0×00 前言 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题. 在XML1.0标准⾥里,XML文档结构⾥里定义了实体(e...

admin 11年前 (2014-07-06) 2266浏览 0评论

转自：http://0day5.com/archives/1644 无视GPC，无需登陆 \lib\plugins\pay\alipay.php 因为是调用的respond 类 function respond() { if (!e...

admin 11年前 (2014-07-05) 2487浏览 0评论

首先根据存在的目的可以理解处理机制： 当打开时所有的’单引号、”双引号、\反斜线、NULL字符都被自动加上一个反斜线进行转义； 1)得到原字符的场景举例(‘,\,”,null) $test_str = ...

admin 11年前 (2014-07-05) 2461浏览 0评论

本文的理论意义可能会大于实践意义，仅为实在没办法的时候提供思路。 不要怪我每次都只会搞这么理论的东东… 目前大多数安全研究的思路大多在如何防止入侵，而较少关注被入侵后怎样减少更大的损失。 不废话了，请看文章。 0x00 session介绍...

admin 11年前 (2014-07-05) 4314浏览 0评论

function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){ if(is_array($StrFiltValue)) { $StrFiltValue=implode($St...

admin 11年前 (2014-07-05) 4369浏览 0评论

From: Every C99.php Shell Is Backdoored (A.K.A. Free Shells for Everyone!) C99.php存在一个漏洞可以绕过登陆密码直接登陆的漏洞。 http://127.0.0.1/c99...

admin 11年前 (2014-06-30) 1916浏览 0评论

利用php中的一个自动在文件中增加页眉和页脚的功能，隐藏一句话。 在站点的某一目录（如：根目录）下编辑文件php脚本文件，名称为：info.php，内容如下 <?php Phpinfo(); ?> 在本地打开如：http://127.0....

admin 11年前 (2014-06-07) 2346浏览 0评论

本文隐藏内容 登陆 后才可以浏览 转载请注明：jinglingshu的博客 » 字段名中的注入...

admin 11年前 (2014-06-03) 2152浏览 1评论

博文作者：pandas 发布日期：2014-02-25 阅读次数：1922 博文内容：   一、前言          不 知怎的最近甚是思念校园生活，思念食堂的炒饭。那时会去各种安全bbs上刷刷帖子，喜欢看别人写的一些关于安全技...

admin 11年前 (2014-05-25) 2800浏览 1评论

这个后门是在渗透某站时遇到的，贴代码： <?php $f = realpath(dirname(__FILE__) . "/../") . $_POST["z1"]; $c = $_POST[&quo...

admin 11年前 (2014-05-13) 2360浏览 0评论

传送们 http://www.mianshamuma.com/php/12.html 最近遇到个站，有狗，手头没有过狗的大马，于是乎就百度谷歌之，结果就进到了这个站http://www.mianshamuma.com/， 据说是国内最大的收信箱子后...

admin 11年前 (2014-04-30) 1478浏览 0评论

多年来，PHP一直是一个稳定的、廉价的运行基于web应用程序的平台。像大多数基于web的平台一样，PHP也是容易受到外部攻击的。开发人员、数据库架构师和系统管理员在部署PHP应用程序到服务器之前都应该采取预防措施。大部分预防措施可以通过几行代码或者把...

admin 11年前 (2014-04-29) 1466浏览 0评论

转自：http://qing.weibo.com/tag/unserialize 把复杂的数据类型压缩到一个字符串中 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges =...

admin 11年前 (2014-04-29) 1859浏览 0评论

We often find new techniques employed by malware authors. Some are very interesting, others are pretty funny, and then there ...

admin 11年前 (2014-04-28) 3781浏览 1评论

0×00 前言 上传webshell后，执行命令时或许没法执行了，这时我们该分析下原理并想出绕过方式，防守方也必须根据绕过方式想想更强的防御. 0×01 php webshell执行命令原理 php webshell（以下简称webshell)下是怎...

admin 11年前 (2014-04-28) 2048浏览 0评论

By 咖啡(k4kup8_0x4154_gmail.com) [目录] 1. 简述 2. php的执行流程 3. php的生命周期 4. php源代码分析以及功能性代码的实现 5. 总结 6. 参考资料 一、简述 依据php特定运行环境、php某些特...

admin 11年前 (2014-04-28) 6743浏览 0评论

可解ioncube及Zend加密，支持批量。 将要解密的文件放入Encoded目录，打开iDezender选择相应的解密类型，回车后开始解密。 解密后的文件移放在Decoded目录，高清无码图如下。 点我下载 ps:百度网盘已转存 转自：http...

admin 11年前 (2014-04-28) 5848浏览 0评论

有些时候通过文件包含漏洞或其他漏洞拿到一个临时shell之后却发现服务器对disable_functions做了比较变态的设置。使得我们没法将shell或local exp写到其他目录。 如： #print_r(ini_get('disab...

admin 11年前 (2014-04-11) 1653浏览 0评论

PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一，国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞。本文描述了常见的PHP命令注入攻击漏洞存在形式和利用方法，结合漏洞实例进行分析和漏洞利用，并针对如何防范PHP...