标签 ‘利用程序’ 下的日志

phpwind管理权限泄露漏洞利用程序PHP版

鬼仔:昨天发了phpwind管理权限泄露漏洞+利用程序,利用程序是python写的,很多朋友说不会用,今天看到yuehei同学的留言说他重写成PHP的了。

作者:yuehei
来源:yuehei 两点之间

一直订阅鬼仔的blog,今天发现PW又出漏洞
http://huaidan.org/archives/2036.html

漏洞原因是Mysql会舍弃没有用处的ASCII129-255,搜了资料也没有找到为什么,PW最大失误不是程序,而是没有把username设为唯一。
阅读全文 »

Tags: , , ,

phpwind管理权限泄露漏洞+利用程序

鬼仔:利用程序是Python写的。

漏洞发布:http://www.80sec.com/
漏洞作者:[email protected]
漏洞厂商: http://www.phpwind.com/ 本漏洞影响phpwind所有版本
漏洞危害:高
漏洞说明:phpwind是国内使用非常广泛的一款程序,由于在程序设计上存在错误,导致任何人可以取得前台管理员及斑主权限,做删除帖子等任意操作
阅读全文 »

Tags: , , ,