Redis默认配置存在安全漏洞，攻击者可无认证访问内部数据，导致信息泄露和数据丢失。建议设置密码、绑定IP和修改端口以提高安全性。

本文讲述了作者在系统探索中发现的目录遍历和敏感信息泄露案例。通过路径爆破，作者获取了学生通话记录和敏感文件，并成功登录多个系统下载源码，强调了网络安全的重要性和谨慎使用技术信息的必要性。

本文记录了公司系统渗透测试过程，利用AJP任意文件读取漏洞获取MySQL数据库密码并成功写入webshell。发现多项安全隐患，包括敏感路径暴露、权限配置不当及未修复漏洞，建议加强安全防护。

本文介绍了微信小程序的漏洞挖掘，重点讨论存储型XSS和文件上传漏洞。作者分享了Proxifier工具的使用方法及注册码，并提供了基础的渗透测试思路，适合初学者。强调小程序的漏洞挖掘相较于web应用更为简单，同时提醒读者注意合法性和安全性。

这篇文章介绍了一个半自动化的Oracle数据库利用工具，用于获取主机控制权限。工具的设计思路是通过在IIS服务的根目录下写入webshell来实现getshell。文章还分享了工具的开发过程和实现方法。

仿蓝奏网盘(城通) 文件上传+sql注入 拿getshell

本文介绍了一个名为Austin的开源消息分发平台，可以对消息的生命周期进行全链路追踪。文章提到了该平台存在的一个SSRF任意文件读取漏洞，并给出了漏洞的具体细节和定位。

OpenAI发布ChatGPT-3.5到4，引发第三方开源项目。其中一个项目存在安全漏洞，可能导致API密钥泄露和Webshell权限获取。通过分析代码，发现可通过打印变量或插入新的PHP代码获取API密钥，并成功连接了Webshell。

新华三御雷实验室发现开源CMS系统存在未授权文件上传漏洞，成功绕过安全设备检测并获取服务器控制权限。实验室总结了漏洞发现、绕过黑名单和文件内容检测的步骤，并提出了绕过WAF流量检测的方法。与盾山实验室合作加强了对变形webshell的检测识别，并升级了IPS特征库以识别文件上传绕过利用的攻击流量。

情景描述今天早上在研究一个Web系统的0Day，虽然是个任意命令执行漏洞，但是这个RCE有些局限，就想通过RCE写个WebShell提提权再看看目标系统：Microsoft Windows Se...

在一次授权渗透测试中，得知测试目标是拿到权限或者关键用户数据。

SQL 注入之 Getshell 的实战学习，一起来上手试一试吧 ！

前篇：通达OA代码审计篇 - 11.7 有条件的任意命令执行 前篇中提到的漏洞在11.8版本中被完全修复后，我痛定思痛，从头开始找一个新的漏洞，于是就有了今天这个漏洞的诞生，但没想到的是，在保留到2021年初时，1月11号更新的11.9版本中再次被定向修复。 今天我们也来看看这一次的漏洞逻辑~

我们学校的教务系统用的是这样一个 CMS： 这里有 SQL 注入，直接输入'or 1=1--就可以进入 进去后是这样，有个公文列表；发布公文处可以上传附件；同时发现设置里面可以上传改图片： 经过尝试，设置里面的上传会自动重命名，不能传 shell；公文列表里面上传的附件会调用一个 download 程序下载，不知道真实路径没法直接访问；然后发现浏览公文的地方有 SQL...

【提醒】此文是一篇新手向的渗透文章，其中一些片段在大牛看来会觉得很可笑，还请谅解。 在我买搬瓦工 VPS 之前，用了一年多某 IDC 的便宜虚拟主机。今天，我展开了对此 IDC 的渗透测试。毕竟得出师有名，为什么要搞它呢？因为这 IDC 居然用免费空间的配置拿来当收费主机卖，还一天到晚宕机，甚至在一次搬迁中出现了数据丢失，对我的影响比较大。 在此 IDC...