从靶场到实战–双一流高校多个高危漏洞
从靶场到实战–双一流高校多个高危漏洞 原创 大白 蚁景网络安全 2025-01-23 12:05 本文结合其它用户案例分析讲解挖掘某双一流站点的过程,包含日志泄露漏洞深入利用失败,到不弱的弱口令字典进入后台,再到最后偶遇一个貌似只在靶场遇到过的高危漏洞。 信息搜集: web站点的话从域名,ip等入手范围太大了,于是决定直接从小程序入手。 微信搜索学校名称,便直接可以通过公众号,小程序寻
继续阅读作者: cve-20
Windows 文件资源管理器权限提升漏洞 (CVE-2024-38100)
Windows 文件资源管理器权限提升漏洞 (CVE-2024-38100) 网安百色 2025-01-23 11:28 点击上方 蓝字 关注我们吧~ 漏洞利用详情 该漏洞存在于Windows文件资源管理器进程中的分布式组件对象模型(DCOM)对象。 具体来说,ShellWindows DCOM对象(CLSID {9BA05972-F6A8-11CF-A442-00A0C90A8F39})被配置为
继续阅读Pwn2Own 2025首日,16个零日漏洞和200万奖金
Pwn2Own 2025首日,16个零日漏洞和200万奖金 Zicheng FreeBuf 2025-01-23 11:01 1月22日, Pwn2Own Automotive 2025 在东京国际展览中心拉开帷幕,比赛首日就有16个零日漏洞被利用,多名参赛白帽黑客累计获得了超38万美元奖金。 Pwn2Own Automotive是主办方趋势科技专门针对汽车网络安全领域举办的安全竞赛,本届是自20
继续阅读关于公示2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位的通知
关于公示2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位的通知 CAPPVD漏洞库 FreeBuf 2025-01-23 11:01 2025年1月,工业和信息化部移动互联网APP产品安全漏洞专业库(以下简称CAPPVD漏洞库)根据《CAPPVD漏洞库支撑单位能力评定办法》,经过对各支撑单位在2024年度的支撑情况开展能力评定,最终确定34家单位入选为2025年度CAPPVD漏洞
继续阅读梆梆安全发布《2024年Q4移动应用安全风险报告》 全国78.37%以上APP存在中高危漏洞风险
梆梆安全发布《2024年Q4移动应用安全风险报告》 全国78.37%以上APP存在中高危漏洞风险 梆梆安全 2025-01-23 09:32 梆梆安全出品的《2024年Q4移动应用安全风险报告》来了!以梆梆安全移动应用监管平台2024年Q4监测、分析的移动应用安全态势为基础,为大家重点和深度分析国内移动应用攻击技术及安全趋势发展, 为移动应用安全建设工作提供有效建议和参考。 ★ 01 ★ 全国移动
继续阅读信息安全漏洞周报【第007期】
信息安全漏洞周报【第007期】 零零捌信安观察 银天信息 2025-01-23 09:16 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读CVE-2024-49113“LDAP 噩梦”:2025 年首个 PoC 漏洞针对关键 Windows 漏洞
CVE-2024-49113“LDAP 噩梦”:2025 年首个 PoC 漏洞针对关键 Windows 漏洞 原创 破天KK KK安全说 2025-01-23 09:04 新的一年,网络安全大戏依旧——但这一次是重磅炸弹! CVE-2024–49113 又名令人恐惧的“ LDAP 噩梦”。这个漏洞让世界各地的 IT 管理员一边疯狂修补系统,一边像喝水一样喝咖啡。为什么?因为这个零点击漏洞不只是敲
继续阅读ChatGPT Crawler漏洞可以通过HTTP请求进行DDoS攻击
ChatGPT Crawler漏洞可以通过HTTP请求进行DDoS攻击 HackSee安全团队 HackSee 2025-01-23 09:03 ChatGPT的网络爬虫的行为可以通过发现的漏洞来利用:在特定的查询条件下,OpenAI的bot可能会无意中对任意网站执行DDoS攻击。这个有趣的漏洞是由网络安全研究员Benjamin Flesch报告的。根据他的说法,对ChatGPT API的单个HT
继续阅读思科提醒注意严重的DoS漏洞
思科提醒注意严重的DoS漏洞 Sergiu Gatlan 代码卫士 2025-01-23 08:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科发布安全更新,修复了位于ClamAV 中的拒绝服务 (DoS) 漏洞,并表示漏洞的 PoC 利用代码已出现。 该漏洞的编号是CVE-2025-20128,是由位于OLE2解密例程中的一个堆缓冲溢出漏洞造成的,可导致未认证的远程攻击者在易受攻
继续阅读7-Zip高危漏洞,攻击者可绕过安全机制远程执行代码
7-Zip高危漏洞,攻击者可绕过安全机制远程执行代码 网络安全与人工智能研究中心 2025-01-23 08:15 近日,流行文件压缩软件7-Zip被曝出一个新漏洞,编号为CVE-2025-0411,CVSS评分为7.0,严重程度较高,引发了广泛的安全担忧。 CVE-2025-0411漏洞允许远程攻击者绕过Windows的“网络标记”(Mark-of-the-Web, MOTW)保护机制,在受影响
继续阅读7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC
7-Zip Web标记绕过漏洞[CVE-2025-0411]-POC dhmosfunk 雾都的猫 2025-01-23 05:16 CVE-2025-0411详细信息 此漏洞(CVSS评分为7.0)允许远程攻击者在受影响的7-Zip安装上绕过Web标记保护机制。需要用户交互才能利用此漏洞,即目标必须访问恶意页面或打开恶意文件。具体缺陷存在于对归档文件的处理中。当从带有Web标记的恶意存档中提取文
继续阅读7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] – POC
7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] – POC Ots安全 2025-01-23 05:04 CVE-2025-0411 详细信息 “此漏洞(CVSS SCORE 7.0)允许远程攻击者绕过受影响的 7-Zip 安装上的 Mark-of-the-Web 保护机制。利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。特定缺陷存在
继续阅读Windows BitLocker 漏洞暴露了 AES-XTS 加密
Windows BitLocker 漏洞暴露了 AES-XTS 加密 Ots安全 2025-01-23 05:04 Windows BitLocker全盘加密工具中存在一个中等严重程度的错误,导致 BitLocker 加密系统遭受针对 AES-XTS 加密模式的新型随机化攻击。 新漏洞CVE-2025-21210凸显了全盘加密系统攻击的复杂性。一旦利用该漏洞,攻击者便可操纵密文块,从而将敏感数据以
继续阅读发现 ClamAV DoS 缺陷的概念验证:CVE-2025-20128
发现 ClamAV DoS 缺陷的概念验证:CVE-2025-20128 Ots安全 2025-01-23 05:04 思科发布了一份安全公告,详细说明了开源防病毒引擎 ClamAV 的对象链接与嵌入 2 (OLE2) 文件解密例程中的一个漏洞。该漏洞的编号为 CVE-2025-20128,可使未经身份验证的远程攻击者在受影响的设备上造成拒绝服务 (DoS) 情况。 根据该通报,此漏洞是由于边界检
继续阅读CVE-2024-9593 WordPress 远程代码执行
CVE-2024-9593 WordPress 远程代码执行 TtTeam 2025-01-23 04:32 Time Clock <= 1.2.2 & Time Clock Pro <= 1.1.4 – 未经身份验证(受限)远程代码执行 WordPress 的 Time Clock 插件和 Time Clock Pro 插件在 1.2.2 及以下版本(适用于 Ti
继续阅读记一次IDOR 和访问控制缺失漏洞挖掘
记一次IDOR 和访问控制缺失漏洞挖掘 白帽子左一 白帽子左一 2025-01-23 04:02 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 测试 IDOR(不安全的直接对象引用) 漏洞时,我会使用一系列工具,确保不会遗漏任何问题。以下是我的测试方法: 设置 Firefox 和 Pwnfox: 1、我使用 Firefox
继续阅读Cisco 会议管理漏洞让攻击者能够将权限提升为管理员
Cisco 会议管理漏洞让攻击者能够将权限提升为管理员 邑安科技 邑安全 2025-01-23 03:37 更多全球网络安全资讯尽在邑安全 在Cisco Meeting Management 中发现了一个严重的安全漏洞,可能允许具有低级访问权限的攻击者将其权限提升为管理员。 CVE-2025-20156漏洞存在于思科会议管理的REST API中。它源于对REST API用户的授权协议实施不足。 利
继续阅读2024年度网络安全漏洞态势分析与研究报告
2024年度网络安全漏洞态势分析与研究报告 一起聊安全 2025-01-23 03:36 本文主要是分享2份关于2024年度网络安全漏洞态势分析与研究报告,具体内容如下。 报告一简介 2024年漏洞态势的关键发现: ✦**** 漏洞数量持续增长:2024年新增漏洞43,757个,同比增长46.7%,其中高危漏洞占比17.8%,总体漏洞威胁程度持续加深。 ✦ 漏洞从暴露到被利用时间窗口持续缩短,平
继续阅读Confluence OGNL注入漏洞复现(CVE-2022-26134)
Confluence OGNL注入漏洞复现(CVE-2022-26134) 原创 Hacker 0xh4ck3r 2025-01-23 03:20 Confluence OGNL注入漏洞复现(CVE-2022-26134) 影响范围 Confluence Server&Data Center ≥ 1.3.0 Atlassian Confluence Server and Data Cent
继续阅读【吃瓜】支付巨头万事达卡DNS错误存在多年,还不承认漏洞危害
【吃瓜】支付巨头万事达卡DNS错误存在多年,还不承认漏洞危害 独眼情报 2025-01-23 03:19 支付卡巨头万事达刚刚修复了域名服务器设置中的一个明显错误。通过注册一个未使用的域名,攻击者本可拦截或转移该公司的互联网流量。这一配置错误持续了近五年,直到一位安全研究员花费300美元注册了这个域名,防止被网络犯罪分子利用。 2025 年 1 月 14 日对域名 az.mastercard.co
继续阅读目前2025汽车Pwn2Own大会产生16个0day漏洞
目前2025汽车Pwn2Own大会产生16个0day漏洞 独眼情报 2025-01-23 03:19 在东京大展览馆举办的2025汽车Pwn2Own大会今天开幕,展示了汽车网络安全研究的前沿技术。 首日,白帽黑客在车载信息娱乐系统(IVI)、电动车充电桩和操作系统中成功利用了16个此前未知的漏洞。大会向参与者颁发了高达382,750美元的奖金。 第一天的重要亮点 本次比赛呈现出成功、重复和失败并存
继续阅读Tomcat 弱密码检测与漏洞利用工具
Tomcat 弱密码检测与漏洞利用工具 ZapcoMan 夜组科技圈 2025-01-23 02:53 公众号现在只对常读和星标的才展示大图推送, 建议大家把 夜组科技圈 设为 星标 ,接收一手资讯! 工具介绍 TomcatScan 是一个用于检测 Tomcat 服务器漏洞的工具,支持以下主要功能: – 检测 CVE-2017-12615 和 CNVD-2020-10487 漏洞。
继续阅读喜讯 | 金盾检测入选为2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位
喜讯 | 金盾检测入选为2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位 金盾检测股份 2025-01-23 02:09 2025年1月,工业和信息化部移动互联网APP产品安全漏洞专业库(以下简称CAPPVD漏洞库)根据《CAPPVD漏洞库支撑单位能力评定办法》,经过对各支撑单位在2024年度的支撑情况开展能力评定,最终确定34家单位入选为2025年度CAPPVD漏洞库支撑单位,
继续阅读Cloudflare CDN漏洞泄露用户位置数据,即使是通过安全聊天应用程序
Cloudflare CDN漏洞泄露用户位置数据,即使是通过安全聊天应用程序 SOC 赛欧思安全研究实验室 2025-01-23 02:05 Cloudflare CDN 漏洞泄露用户位置数据,即使是通过安全聊天应用程序 CVE-2025-23083:Node.js 漏洞暴露敏感数据和资源 黑客利用 MSI 包和 PNG 文件来传播多阶段恶意软件 思科警告:PoC 漏洞利用代码存在拒绝服务缺陷 P
继续阅读工具 | 一款替代Frp完美消除网络特征的内网穿透神器
工具 | 一款替代Frp完美消除网络特征的内网穿透神器 howmp HACK之道 2025-01-23 02:00 介绍 grs是一个反向socks5代理,其中grss和grsc和grsu是通过REALITY协议通信。相对于frp,nps等内网穿透工具有以下特点: 完美消除网络特征 防止服务端被主动探测 客户端和用户端内嵌配置,不需要命令行或额外配置文件 使用教程 grs共有3个程序,分别代表着以
继续阅读7-Zip高危漏洞CVE-2025-0411 poc 攻击者可绕过安全机制远程执行代码
7-Zip高危漏洞CVE-2025-0411 poc 攻击者可绕过安全机制远程执行代码 原创 棉花糖糖糖 棉花糖fans 2025-01-23 01:39 前言 前两天全网都在发一个7z的cve,编号为: image-20250123090624466 相关poc在github公开,地址: https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC 复
继续阅读高危预警!思科ClamAV漏洞PoC代码公开,多款终端安全产品告急
高危预警!思科ClamAV漏洞PoC代码公开,多款终端安全产品告急 原创 Hankzheng 技术修道场 2025-01-23 01:36 漏洞速报 思科今日紧急发布安全更新,修复其ClamAV反病毒引擎中高危拒绝服务漏洞(CVE-2025-20128) 。该漏洞源于OLE2文件解密模块的堆缓冲区溢出缺陷 ,攻击者可通过投递恶意文件触发扫描进程崩溃,导致企业终端防护陷入瘫痪! ⚠️ 关键风险点 :
继续阅读漏洞预警 | 广联达Linkworks信息泄露漏洞
漏洞预警 | 广联达Linkworks信息泄露漏洞 浅安 浅安安全 2025-01-23 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 广联达Linkworks办公OA是一款综合办公自动化解决方案,旨在提高组织内部的工作效率和协作能力。它提供了一系列功能和工具,帮助企业管理和处理日常办公任务、流程和文档。 0x03 漏洞详情
继续阅读奥威亚教育视频云平台VideoCover存在任意文件上传漏洞
奥威亚教育视频云平台VideoCover存在任意文件上传漏洞 原创 骇客安全 骇客安全 2025-01-22 16:01 一、漏洞简介 奥威亚教育视频云平台是 一种教育技术解决方案,致力于提供高质量的在线教育视频服务。该平台为教育机构和教师提供了一个全面的视频管理和交流平台。奥威亚教育视频云平台VideoCover存在任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。 二、影响版本 奥威亚教育视
继续阅读OWASP 2025年十大漏洞
OWASP 2025年十大漏洞 铸盾安全 河南等级保护测评 2025-01-22 16:00 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键 漏洞 的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安全性的重要性从未如此明显。最新列表反
继续阅读