Shikata Ga Nai

Private? There is no such things.

2022-01-04から1日間の記事一覧

WackoPickoでアクセス制御の不備を確認してみた

Hello there, ('ω')ノ まずは、ユーザでログインして。 どうやら100の通貨を持っているようで。 画像を選択して。 購入すると。 手持ちの通貨も減るようで。 このような機能は、脆弱性のにおいがするのですが今回はパスということで。 購入した画像は、ハ…

WackoPickoでサーバソフトウェアの設定の不備を確認してみた

Hello there, ('ω')ノ サイトマップを見てみるとCalendar.phpというファイルに目がとまって。 とりあえずは、リピータでSendしてみると。 レスポンスで、各種バージョンが確認できて。 ちなみにページは、下記のようで。 これまで見たこともなく。 リンクさ…

WackoPickoでパストラバーサルを確認してみた

Hello there, ('ω')ノ 下記は、WackoPickoでアップロードした画像で。 コンテンツディスカバリで、すべてのコンテンツを洗い出すことに。 どうやらuploadディレクトリにフォルダが作成されて保存されているようで。 サイトマップを見るとusersというディレク…