PHP-инклюдинг в Glossword

Рекомендуем почитать:

Xakep #295. Приемы рыбалки

Содержание выпуска
Подписка на «Хакер»-60%

Программа: Glossword 1.8.1

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.
Уязвимость существует из-за недостаточной обработки входных данных в параметре «sys[path_addon]» сценарием custom_vars.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:

[path]/custom_vars.php?sys[path_addon]=EvilC0de

PHP-инклюдинг в Glossword

Xakep #295. Приемы рыбалки

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Магия SSPI. Достаем учетные данные Windows, не трогая LSASS

Приключения «Электрона». Отлаживаем JSC-код любой версии Electron без декомпилятора

HTB Cybermonday. Эксплуатируем путаницу ключей JWT

MEGANews. Самые важные события в мире инфосека за ноябрь

Трюки

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Инструменты разведчика. Извлекаем данные из Instagram, Telegram, GitHub и других источников

Письмо с сюрпризом. Изучаем уловки и хитрости для доставки писем с малварью

Последние новости

Атака SLAM угрожает нынешним и будущим процессорам Intel, AMD и Arm

Основатель криптобиржи Bitzlato признал себя виновным

Nissan восстанавливает свои системы после кибератаки

14 декабря в «Кибердоме» пройдет митап «Хакера»

В WordPress исправили уязвимость, угрожающую сайтам удаленным выполнением кода