PHP: 将时间显示为“刚刚”“n分钟/小时前”等

作者:Secer 发布时间:July 26, 2013 分类:代码学习

在很多场合为了显示出信息的及时性,一般会将时间显示成“刚刚”,“5分钟前”,“3小时前”等,而不是直接将时间打印出来。比如微博,SNS类应用就最长用到这个功能。而一般存储在数据库中的时间格式为 Unix时间戳,所以这里记录一个将 Unix时间戳 转化为时间轴显示的PHP函数。

函数比较简单,直接看代码就很好懂了。

<?php 

date_default_timezone_set('PRC');
$date = "1351836000";
echo tranTime($date); 

function transfer_time($time)
{
    $rtime = date("m-d H:i",$time);
    $htime = date("H:i",$time); 

    $time = time() - $time; 

    if ($time < 60)
    {
        $str = '刚刚';
    }
    elseif ($time < 60 * 60)
    {
        $min = floor($time/60);
        $str = $min.'分钟前';
    }
    elseif ($time < 60 * 60 * 24)
    {
        $h = floor($time/(60*60));
        $str = $h.'小时前 '.$htime;
    }
    elseif ($time < 60 * 60 * 24 * 3)
    {
        $d = floor($time/(60*60*24));
        if($d==1)
            $str = '昨天 '.$rtime;
        else
            $str = '前天 '.$rtime;
    }
    else
    {
        $str = $rtime;
    }
    return $str;
} 

?> 


注意函数transfer_time()中的参数$time必须为Unix时间戳,如果不是请先用strtotime()将其转换成Unix时间戳。

论升级的重要性,低版本squirrel mail的XSS利用实例

作者:Secer 发布时间:July 23, 2013 分类:渗透测试

低版本的sqmail有几个xss洞...但是没有exploit...这次通过实例补充一下
求不要跨省...我还要读几年书呢
详细说明:
香港科技大学喜欢使用squirrel mail作为webmail后端
屡次标榜先进性却不思升级...这不就跪了么
这次实战的洞有CVE-2008-2379
和一个老洞...但是sqmail的最新版好像也没完全修好
先看看科大用的sqmail版本
logout以后任意访问一个需要login的页面就可以了
clip_image002
1.4.10a恩...
http://squirrelmail.org/security/
来看看对应版本有什么洞...
我注意到的是
2008-12-04        Cross site scripting in HTML filter        1.4.0 - 1.4.16        0        CVE-2008-2379
这个洞...先搜一下网上有没有现成的exploit好了....
...
没有...那就自己研究
先看一下patch
http://squirrelmail.svn.sourceforge.net/viewvc/squirrelmail/branches/SM-1_4-STABLE/squirrelmail/functions/mime.php?r1=13276&r2=13338&view=patch
然后抓源码下来研究一番

阅读剩余部分...

看我是如何利用zbbix渗透sogou&sohu内网的

作者:Secer 发布时间:July 9, 2013 分类:渗透测试

手机搜狗好像不是很好用唉;
在乌云浏览搜狗历史漏洞的时候得到220.*.*.*其中的一个ip
具体是那个漏洞记不住了。
对220.*.*.0/26进行 8080端口扫描,没有啥重大发现
对220.*.*.0/26进行 80端口扫描,有重大发现了
http://220.*.*.*/zabbix/
再往下

 

http://220.181.*.128/zabbix/
默认口令:admin/zabbix
clip_image002
没多少机器,目测是个测试的zabbix
随便找了个机器 添加了一个items直接使用system.run 跑了一个命令,没有数据返回,确定zabbix agent没有开启system.run 模块
不过zabbix还有一个Scripts的功能,可以对zabbix server 执行任意命令

阅读剩余部分...

如何渗透PayPal(贝宝)用户交易记录系统

作者:Secer 发布时间:July 9, 2013 分类:渗透测试

*本文由以色列Break Security公司CEO兼创始人Nir Goldshlager撰写,并由IDF实验室志愿者张俊翻译。

今天我来介绍一下我之前是如何攻入PayPal记录系统的,这个BUG已经被反馈给了Paypal安全团队并立即得到了修补。

利用这个漏洞,攻击者可以完全访问PayPal的用户交易记录。在这些记录里,你可以找到如下的用户信息:

· 购物地址

· 电子邮箱

· 电话号码

· 商品名称

· 购买数量

· 用户全名

· 交易号

· 发票号

· 交易主体

· 账户名

· Paypal参考编号

等等……

首先,在PayPal的用户界面,这里有一个“交易记录”的选项:

clip_image002

通常,用户可以通过这个选项来访问自己购买过的商品记录。

阅读剩余部分...