DedeCms栏目更新处存在sql时间盲注，攻击者可以利用该漏洞获得数据库敏感信息首先从GitHub上下载源码搭建环境https://github.com/wdsunwq/DedeCMSv5然后漏洞点在后台这个位置dede/makehtml_archives_action.php这个文件中变量typeid没有被定义，默认为0，并且这里没有任何的过滤；定义了idsql为空，gwhere值传入i

想不到我这种菜鸡也会被公司安排去打比赛，那必须得让公司知道便宜没好货。刚好好久没写文章了，就写一篇第一次护网记录一下。1.XX博物馆因为这次比赛有近源攻击，刚好资产上面有这个博物馆，因为信息太少没被打穿，就打车去近源攻击碰碰运气，第一天过去的时候刚好周末博物馆没开门，就管门卫说我们是游客能不能蹭个wifi，发个文件。门卫大叔还挺好，连上wifi后坐在他对面一通乱扫发现除了网关什么都没有，再抬头看门

Panabit panalog 任意用户创建漏洞和后台命令执行【产品介绍】panabit是国内著名的网络应用层流量识别与管理控制的厂商。Panabit提供标准版软件给大众免费使用，标准版允许最大IP地址数为256个，也就是一个网段，对于一些小型的网络也足够了。[产品系统UI]【漏洞说明】Panabit平台/singleuser_action.php接口存在任意用户创建漏洞和后台命令执行漏洞。

**过完年从不喜欢的职业离职后，专心学习渗透技术到现在也有快两个月了，因为没有什么经济收入所以想着能否找一份实习的工作或者初级渗透工作来养活自己吃饭问题，可能是因为非全日制大专吧，投了将近100家后才开始收到面试电话，废话不说了，下面是三家面试经验，还请各位学长、老师哪里有不好的地方多多指教**#CTL{\n}#CTL{\n}**北京某科技安全公司（渗透测试）**#CTL{\n}#CTL{\n}*

新手小白第一次发表文章，如果发现有待改良的地方，请多多指教1.在这个商城里注册一个用户，然后点击个人中心那里2.在收货地址那里，写几个方便后面查看代码的时候容易搜到的标记，我就写了88883.之后查案网页代码，按ctrl+f搜索刚刚做好的标记8888，发现这里好像的引号可以注释掉，用事件形进行触发4.然后就在刚刚做的标记地方，详细地址那里输入 “ oninput=alert(1) // ，点击修改