MetInfo 6.1.2 全版本前台SQL注入分析

Web安全,Notes,代码审计 2018年10月16日 0 条评论

0x01 前言MetInfo是企业建站系统采用PHP+Mysql架构,V1.0版本于2009年发布,又称米拓企业建站系统。MetInfo是一款对SEO非常友好、支持多语言、功能全面、安全稳定、支持多终端展示并且支持可视化编辑、使用简单的企业建站软件。用户可以在不需要任何编程的基础上,通过简单的安装和可视化编辑设置就能够在互联网搭建独立的企业网站,能够极大的降低企业建站成本。这个本来是 ······

SIM token 自动化薅羊毛攻击还原

Notes,代码审计 2018年7月30日 0 条评论

前几天启明星辰积极防御实验室在seebug分享了一篇 利用SIM token合约代码逻辑缺陷自动化薅羊毛的攻击事件,攻击者的思路很棒,对以太坊的一些原理理解非常深刻。同样启明星辰积极防御实验室的julao们的文章也很到位,每一步攻击流程都分析的很透彻,但美中不足的是,没有给出攻击者部署合约的恶意代码,原因是恶意合约最后进行了自动销毁,使自己的代码从区块链上消失。没有提供复现代码怎么办 ······

BEC整数溢出漏洞分析

Notes,代码审计 2018年7月16日 0 条评论

  研究区块链方向的安全也有一段时间了,还没在博客记录过关于区块链安全方面的东西,所以这次分享一个还算比较有趣的区块链的漏洞吧,有什么地方理解出现了偏差还请师傅们指出。这个漏洞有趣在哪里呢?第一个是他用了以太坊官方的防止整数溢出的库还是出了问题,第二个是转币方不会有任何损失但攻击者会得到一笔很大很大的bec。废话不多说,贴上代码: //255-257 lin ······

ISCC2018线上赛之Web搅屎

Web安全,Notes,代码审计 2018年6月14日 0 条评论

前言这篇文章主要是总结一下在ISCC中发现的存在漏洞的Web题目,这些漏洞都可以导致题目被搅屎,甚至环境被提权:),当然我在发现的第一时间上报给主办方,至于修不修复就是他们的事情了。虽然说这个比赛的题目大多都是chao的,但是拿来练手刚好。漏洞点漏洞一这题题目叫做:php是世界上最好的语言,题目源代码如下: <?php include 'flag.php'; ······

搜索


© 2018 Notes

Power by Getshell-lab