Redis数据库主从复制RCE影响分析
Redis数据库主从复制RCE影响分析 NEURON SAINTSEC 2025-01-30 10:00 Reids 未授权的常见攻击方式有绝对路径写Webshell、写ssh公钥、利用计划任务反弹shell、主从复制RCE。 利用主从复制RCE,可以避免了通过写文件getshell时由于文件内含有其他字符导致的影响,也可以不需要借助crontab、php这种第三方的程序直接getshell,有明
继续阅读作者: cve-20
【安全预警】明源云ERP报表服务GetErpConfig存在信息泄露漏洞
【安全预警】明源云ERP报表服务GetErpConfig存在信息泄露漏洞 hyuya 安全卫士小帮手 2025-01-30 09:15 来源:https://www.ddpoc.com/DVB-2024-8341.html 产商已修复,未更新补丁的请及时更新补丁,验证脚本和方式星球内自取
继续阅读DeepSeek 数据库被攻击,国外团队已公开披露漏洞
DeepSeek 数据库被攻击,国外团队已公开披露漏洞 原创 Mstir 星悦安全 2025-01-30 07:16 点击上方 蓝字 关注我们 并设为 星标 0x01 漏洞研究 AI 初创公司 DeepSeek 最近因其开创性的 AI 模型,尤其是 DeepSeek-R1 推理模型而引起了媒体的广泛关注。该模型在性能上可与 OpenAI 的 o1 等领先的 AI 系统相媲美,并以其成本效益和效率而
继续阅读可能这就是你deepseek无法访问的原因——deepseek 漏洞(已修复)
可能这就是你deepseek无法访问的原因——deepseek 漏洞(已修复) 原创 前沿快讯 安全光圈 2025-01-30 06:45 这就是deepseek无法访问的原因吗?deepseek 漏洞(已修复) 漏洞原贴 漏洞研究人员的GitHub地址:https://github.com/h4x0r-dz 公开的推文:https://x.com/h4x0r_dz/status/18845663
继续阅读越权漏洞实战漏洞报告
越权漏洞实战漏洞报告 原创 xiaoliao1 信安一把索 2025-01-30 04:18 在日常浏览和测试一些网站功能时,作为一个安全研究者,我总是习惯性地对每个功能点进行一些基本的测试,尤其是对于那些看起来设计粗糙或者不够完善的功能。正是在这种情况下,我发现了一个私信功能,界面简单,缺乏细致的保护机制,这引发了我对其安全性的怀疑。于是,我决定深入分析,看看是否存在潜在的漏洞。 在浏览主站点时
继续阅读代码审计 | 如何获取CVE漏洞编号
代码审计 | 如何获取CVE漏洞编号 原创 zkaq-yusi 掌控安全EDU 2025-01-30 04:02 扫码领资料 获网安教程 本文由掌控安全学院 – yusi 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 前言:最近在网上找了套源码,想着练一下审计,也不能说有多深入,但是学习一下审计流程,源码下载在文章末尾 环境搭建
继续阅读跨平台漏洞扫描器 — EZ(V1.9.2)
跨平台漏洞扫描器 — EZ(V1.9.2) m-sec-org 网络安全者 2025-01-29 16:10 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
继续阅读xxl-job漏洞综合利用工具 — xxl-job-attack
xxl-job漏洞综合利用工具 — xxl-job-attack pureqh Web安全工具库 2025-01-29 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,
继续阅读W3 Total Cache 插件漏洞导致 100 万个 WordPress 网站遭受攻击
W3 Total Cache 插件漏洞导致 100 万个 WordPress 网站遭受攻击 Rhinoer 犀牛安全 2025-01-29 16:00 安装在超过一百万个 WordPress 网站上的 W3 Total Cache 插件存在一个严重漏洞,可能使攻击者能够访问各种信息,包括基于云的应用程序的元数据。 W3 Total Cache 插件使用多种缓存技术来优化网站速度、减少加载时间并全面
继续阅读瑞斯康达智能网关命令执行漏洞简单分析
瑞斯康达智能网关命令执行漏洞简单分析 黑白之道 2025-01-29 14:24 漏洞分析 今年看到这个厂商的设备又爆漏洞了,一起分析下这个命令执行漏洞 我们先根据网上的文章定位漏洞文件 list_base_config.php image-20241231103058916 这里看到可以传入几个参数 type parts pages serch_value,我们往下看这个switch分支的判断条
继续阅读原创工具|Venom-JWT渗透工具 – 针对JWT漏洞和密钥爆破服务渗透测试
原创工具|Venom-JWT渗透工具 – 针对JWT漏洞和密钥爆破服务渗透测试 老呆 Tab Sec 2025-01-29 14:11 此文章只为学习而生,请勿干违法违禁之事,本公众号只在技术的学习上做以分享,开发个工具帮助进行项目上的渗透测试, 所有行为与本公众号无关 。 毒液Venom系列项目又+1,好耶。 后续开发的项目 渗透服务类工具Github:https://github.
继续阅读扩展 SAE J1939 的攻击场景:传输协议中已建立和新的漏洞的综合分析
扩展 SAE J1939 的攻击场景:传输协议中已建立和新的漏洞的综合分析 GRCC IoVSecurity 2025-01-29 11:30 点击上方 蓝色字体,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资合作群… 相关文章 强制性国家标准 GB 4449
继续阅读【代码审计】RGCMS 2.0 存在 phar 反序列化RCE漏洞
【代码审计】RGCMS 2.0 存在 phar 反序列化RCE漏洞 原创 RT 星悦安全 2025-01-29 11:09 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 RGCMS存在反序列化漏洞,攻击者可以通过该漏洞执行任意命令。 影响版本:RGCMS 2.0 0x01 漏洞分析&复现 漏洞点位于:rgcms2.0/app/admin/controller/Data.php 在
继续阅读【项目推荐】PDF FUD 漏洞利用
【项目推荐】PDF FUD 漏洞利用 原创 visionsec 安全视安 2025-01-29 10:40 声明 :该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 ****### PDF 漏洞利用与免杀技术解析 PDF 文件一直是攻击者青睐的攻击载体,尤其是结合 FUD(Fully UnDetectabl
继续阅读记一次SRC利用github搜索拿下中危漏洞
记一次SRC利用github搜索拿下中危漏洞 原创 zkaq-asdad 掌控安全EDU 2025-01-29 04:01 扫码领资料 获网安教程 本文由掌控安全学院 – asdad 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 由于是某项目所以厚码,打开官网基本都是静态页面,没有什么交互功能,找了半天只有一个投诉功能,在投诉功
继续阅读零日漏洞正在推动 Fortinet 防火墙攻击(CVE-2024-55591 已确认)
零日漏洞正在推动 Fortinet 防火墙攻击(CVE-2024-55591 已确认) Ots安全 2025-01-29 03:53 目前,针对公共互联网上暴露管理界面的 FortiGate 设备的活跃活动正在导致未经授权的管理登录和配置更改、新帐户的创建以及 SSL VPN 身份验证的性能。 研究人员发现,攻击者瞄准设备执行未经授权的管理登录和其他配置更改、创建新帐户以及执行 SSL VPN 身
继续阅读苹果修补了 2025 年首个被利用的 iOS 0day(CVE-2025-24085)
苹果修补了 2025 年首个被利用的 iOS 0day(CVE-2025-24085) 独眼情报 2025-01-29 00:15 苹果公司发布了软件更新,以解决其产品组合中的多个安全漏洞,包括一个据称已被广泛利用的零日漏洞。 该漏洞编号为 CVE-2025-24085,被描述为Core Media组件中的一个释放后使用错误,可能允许已安装在设备上的恶意应用程序提升权限。 该公司在一份简短的公告中
继续阅读攻防靶场(54):从LFI到RCE
攻防靶场(54):从LFI到RCE 原创 罗锦海 OneMoreThink 2025-01-29 00:04 欢迎提出宝贵建议 、欢迎分享 文章、欢迎关注 公众号 OneMoreThink 。 目录 侦查 1.1 收集目标网络信息:IP地址 1.2 主动扫描:扫描IP地址段 1.3 主动扫描:字典扫描 初始访问 2.1 利用面向公众的应用 权限提升 3.1 利用漏洞提权:可写文件 3.2 滥用特权
继续阅读DeepSeek崛起背后的暗流:全球AI技术博弈下的DDoS攻击
DeepSeek崛起背后的暗流:全球AI技术博弈下的DDoS攻击 原创 伏影实验室 绿盟科技威胁情报 2025-01-28 14:53 背景 DeepSeek的崛起无疑是中国人工智能技术发展的一个里程碑式事件。作为中国AI领域的代表性企业,DeepSeek不仅在技术创新和商业化应用方面取得了突破性进展,更在全球AI竞争中展现了中国科技企业的卓越实力与巨大潜力。 然而,伴随着DeepSeek国际影响
继续阅读CVE-2025-21535|Oracle WebLogic Server远程代码执行漏洞
CVE-2025-21535|Oracle WebLogic Server远程代码执行漏洞 alicy 信安百科 2025-01-28 09:18 0x00 前言 Weblogic是Oracle公司的Java应用服务器。可以用来集成和部署大型分布式Web应用、网络应用和数据库应用。 Weblogic最早由Weblogic公司开发,后来被BEA公司并入,所以早期Weblogic安装及界面有BEA的元
继续阅读【burpsuite靶场-服务端2】身份认证漏洞-15个实验(全)
【burpsuite靶场-服务端2】身份认证漏洞-15个实验(全) 原创 underatted 泷羽Sec-underatted安全 2025-01-28 07:08 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢! 1. 概念 至少在概念上,
继续阅读春节放假通知 | 漏洞盒子祝大家蛇年大吉!
春节放假通知 | 漏洞盒子祝大家蛇年大吉! 漏洞盒子 2025-01-28 04:06 春节倒计时1天! 本蛙的脑子里已经开始播放恭喜发财…… 耶?怎么手里的键盘和水杯, 自动变成了沙糖桔和瓜子! (嚼嚼嚼) 各位白帽们开始过年了吗? 剩下的事年后再说, 我一个ጿ ኈ ቼ ዽ ጿ 直接回家过大年! 漏洞盒子在这里祝福大家: 蛇年大吉,岁岁安康! 新 年 快 乐 感谢各位白帽师傅一年以来对网安行业的
继续阅读fastjson1.2.24 1.2.27漏洞复现
fastjson1.2.24 1.2.27漏洞复现 原创 Hacker 0xh4ck3r 2025-01-28 03:00 入职大厂必会 写在前面的话:请注意本篇博客最后面的附(注意java版本),本篇博客采用的是LDAP服务getshell,rmi同理。阅读本篇博客需了解fastjson,ldap,rmi。 启动靶场 在终端里进入事先进入准备好的vulhub靶场目录下, cd fastjson/
继续阅读多个 Git 漏洞导致凭证泄露
多个 Git 漏洞导致凭证泄露 独眼情报 2025-01-28 02:29 引言 大家好,我是 RyotaK(@ryotkak),GMO Flatt Security 公司的安全工程师。 2024年10月,我在参与GitHub漏洞赏金计划进行漏洞挖掘时,对GitHub Enterprise Server的调查感到有些乏味,于是决定转向GitHub Desktop寻找漏洞。 在阅读GitHub De
继续阅读Nuclei GUI POC管理工具
Nuclei GUI POC管理工具 原创 白帽学子 白帽学子 2025-01-28 00:11 Nuclei 管理工具可以更好地处理 nuclei 的 POC 模板和扫描任务。这个新工具不仅能实现基本的模板增删查改,还支持并行扫描,当我们在进行多目标扫描时,传统的方法往往需要耗费大量时间和人力,而通过这个工具,可以轻松配置多个任务并同时执行。 在使用过程中,我特别喜欢它的自定义功能。比如,我可以
继续阅读74cmsRCECVE-2024-2561
74cmsRCECVE-2024-2561 原创 骇客安全 骇客安全 2025-01-27 20:00 漏洞描述 74CMS人才系统存在RCE CVE-2024-2561,漏洞地址存在与sendCompanyLogo文件中/controller/company/Index.php#sendCompanyLogo的组件Company Logo Handler。经修改后的参数:imgBase64恶意代
继续阅读某se同综合漏洞利用工具 — YisaiExploitGUI
某se同综合漏洞利用工具 — YisaiExploitGUI CRlife 网络安全者 2025-01-27 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请
继续阅读调用 KIMI AI 进行自动化越权漏洞检测的工具 — PrivHunterAI
调用 KIMI AI 进行自动化越权漏洞检测的工具 — PrivHunterAI Ed1s0nZ Web安全工具库 2025-01-27 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自
继续阅读企业网络安全文化建设必备(2):Gartner PIPE(实践|影响|平台|使能)框架
企业网络安全文化建设必备(2):Gartner PIPE(实践|影响|平台|使能)框架 原创 HardyXie 超安全 2025-01-27 14:45 前言 国际权威研究机构Gartner近年来高度关注网络安全中的“人为因素”,发布了一系列相关的研究报告和趋势预测。例如,Gartner早在2022年便提出了安全行为与文化计划(SBCP)的理念,并创新性地推出了PIPE( 实践 | 影响 | 平台
继续阅读车载协议网络安全测试与验证技术
车载协议网络安全测试与验证技术 GRCC IoVSecurity 2025-01-27 13:01 点击上方 蓝色字体,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资合作群… 相关文章 诊断协议的故障注入基于MAVLink协议的无人机系统安全通信方案扩展 SA
继续阅读