Lucifaer's Blog.

Lucifaer's Blog.

Security Reseacher

Git Hooks实现项目的自动部署

最近把自己的wiki重新更新了一下版本,正好以前的服务器到期,把新版本的wiki迁移到新的服务器上,顺手把之前配置的代码自动部署的过程记录下来。

实现项目的自动部署,最简便的方法就是利用git hooks这个方法。

Joomla 框架的简单跟进

最近爆出的Joomla!3.7.0 Core SQL注入漏洞,在分析的时候难免会接触到一些框架本身调用的问题。本着知根知底的想法,我开始了对Joomla框架的简单跟进。

PS:本人小菜一个,本篇很大程度上是基于本人对代码的跟踪、总结而写的,可能有很多地方不是很准确,希望大牛们勿喷,多给予一些分享。

Phpcms V9.6.0任意文件写入getshell

0x00 漏洞简述

1. 漏洞简介

上周phpcms v9.6的任意文件上传的漏洞,已经潜伏半年多的一个漏洞。该漏洞可以在用户注册界面以未授权的情况下实现任意文件上传。

2. 漏洞影响版本

phpcms v9.6

WordPress REST API 内容注入

0x00 漏洞简述

1. 漏洞简介

REST API自动包含在Wordpress4.7以上的版本,WordPress REST API提供了一组易于使用的HTTP端点,可以使用户以简单的JSON格式访问网站的数据,包括用户,帖子,分类等。检索或更新数据与发送HTTP请求一样简单。上周,一个由REST API引起的影响WorePress4.7.04.7.1版本的漏洞被披露,该漏洞可以导致WordPress所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。

2. 漏洞影响版本

  • WordPress4.7.0
  • WordPress4.7.1
CVE-2016-6483 vBulletin 5.2.2 SSRF漏洞

0x00 漏洞概述:

漏洞信息

vBulletin是一个商业论坛程序,它封装了自己的curl用于发出请求。近日研究人员发现在某些版本中其getlinkdata这项功能并没有对跳转进行检测和制止,从而导致SSRF漏洞的产生。

Lucifaer
祝这世界继续热闹
祝我仍是我