漏洞說明 XAMPP是一個把Apache網頁服務器與PHP、Perl及MariaDB集合在一起的安裝包，允許用戶可以在自己的電腦上輕易的建立網頁服務器。該軟件與phpstudy類似。在windows下，XAMPP允許非管理員賬號訪問和修改其編輯器和瀏覽器的配置，編輯器的默認配置 ...

參考 https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html Supervisord Supervisord是一款Python開發，用於管理后台應用（服務）的工具，其角色類似於Linux ...

Supervisord遠程命令執行漏洞（CVE-2017-11610）復現 文章首發在安全客 https://www.anquanke.com/post/id/225451 寫在前面 因為工作中遇到了這個洞，簡單了解后發現正好是py的源碼，因此想試一下依據前輩的分析做一下簡單的代碼分析，找到 ...

任意命令執行漏洞 *背景介紹* 當應用需要調用一些外部程序去處理內容的情況下，就會用到一些執行系統命令的函數。如php中的system、exec、shell_exec等，當用戶可以控制命令執行函數中的參數時，將可以注入惡意系統命令到正常的命令中，造成命令執行攻擊。 任意命令執行漏洞 ...

couchdb簡介： Apache CouchDB是一個開源的NoSQL數據庫，專注於易用性和成為“完全擁抱web的數據庫”。它是一個使用JSON作為數據存儲格式，javascript作為查詢語言，MapReduce和HTTP作為API的NoSQL數據庫。 漏洞原理 ...

一、原理分析： 只需參數readonly設置為false或者使用參數readonly設置啟用WebDAV servlet false，則Tomcat可以不經任何身份驗證的控制直接接收PUT方式上傳的文件，無論上傳者是任何人，也無論上傳的是任何文件。此時可以上傳jsp文件，直接執行jsp代碼 ...

tomcat7.x遠程命令執行（CVE-2017-12615）漏洞漏洞復現 一、漏洞前言 2017年9月19日，Apache Tomcat官方確認並修復了兩個高危漏洞，漏洞CVE編號:CVE-2017-12615和CVE-2017-12616,該漏洞受影響版本為7.0-7.80之間 ...

前言 2017年6月13日，微軟官方發布編號為CVE-2017-8464的漏洞公告，官方介紹Windows系統在解析快捷方式時存在遠程執行任意代碼的高危漏洞，黑客可以通過U盤、網絡共享等途徑觸發漏洞，完全控制用戶系統，安全風險高危 漏洞描述 攻擊者可以向用戶呈現包含惡意的.LNK文件 ...