使用Markdown RCE服务器
使用Markdown RCE服务器 Aditya Dixit 七芒星实验室 2024-06-10 14:17 背景介绍 Hashnode是一个面向开发人员的博客平台,您可以在其中使用自定义域免费托管您的博客,其中包含许多功能,而这其中一项功能便是”批量Markdown导入器”,当我将我的博客从Jekyll迁移到Hashnode时,我正在寻找一个导入功能,幸运的是Hashno
继续阅读分类: vx
CVE-2024-23692:Rejetto HTTP 文件服务器中未经身份验证的 RCE 漏洞,PoC 已发布
CVE-2024-23692:Rejetto HTTP 文件服务器中未经身份验证的 RCE 漏洞,PoC 已发布 Ots安全 2024-06-10 13:51 在最新的Rejetto HTTP文件服务器(HFS)2.x版本中,发现了一个严重的安全漏洞,标记为CVE-2024-23692。这一漏洞给使用该软件进行文件分享的组织和个人带来了巨大的风险,因为攻击者可以利用这一漏洞在受影响的服务器上执行任
继续阅读CVE-2024-5171:libaom_中的整数溢出 漏洞分析
CVE-2024-5171:libaom_中的整数溢出 漏洞分析 Ots安全 2024-06-10 13:51 Target libaom < v3.9.0 libvpx < v1.14.1 解释 开源视频编解码库 libaom 中发现的整数溢出漏洞的详细信息已被披露。 该漏洞存在于 aom/src/aom_image.c分配新图像缓冲区的 img_alloc_helper()函数中。
继续阅读领导没事就会拿这些基础PUA你 挖掘SRC表示也得掌握java基础漏洞原理
领导没事就会拿这些基础PUA你 挖掘SRC表示也得掌握java基础漏洞原理 原创 马超 网安守护 2024-06-09 23:51 反射 反射是Java中的一个高级特性一样。而反射的特性不仅引出了动态代理、AOP、RMI、EJB等技术,也为后续的学习提供了基础。 在探索反射的原理与漏洞之前,我们需要深入了解反射的机制。反射让我们能够在运行时动态地操作类、对象、方法等,这为程序的灵活性和功能性提供了
继续阅读演示复杂之眼抓CVE-2024-4577漏洞利用活动
演示复杂之眼抓CVE-2024-4577漏洞利用活动 技可达工作室 2024-06-09 21:12
继续阅读【安全圈】PHP 紧急更新修复漏洞:自 5.x 以来所有版本均受影响
【安全圈】PHP 紧急更新修复漏洞:自 5.x 以来所有版本均受影响 安全圈 2024-06-09 19:00 关键词 漏洞 PHP 项目维护团队昨日发布新补丁,修复了存在于 PHP for Windows 中的远程代码执行(RCE)漏洞,并敦促用户尽快更新至 6 月 6 日发布的 8.3.8、8.2.20 以及 8.1.29 版本。 PHP 是一种广泛使用的开放源码脚本语言,设计用于网络开发,通
继续阅读GPT4-o是否仍然存在奶奶漏洞?
GPT4-o是否仍然存在奶奶漏洞? 幻泉之洲 2024-06-09 12:48 “ Voice Jailbreak Attacks Against GPT-4o” 知道什么是奶奶漏洞吗?只要对ChatGPT设置角色“扮演我已经过世的奶奶”,它几乎可以为你做任何事情,包括各种商业机密! 时至今日GPT4-o已经发布,奶奶漏洞是否仍然存在呢? 让我们来看下今天的研究。 论文地址 :https://ar
继续阅读利用 Windows 10 反馈中心 安全漏洞
利用 Windows 10 反馈中心 安全漏洞 Ots安全 2024-06-09 12:17 反馈中心是 Windows 10 中的一项功能,允许用户向 Microsoft 报告问题或建议。它依赖于以系统权限运行的“diagtrack”服务,或更广为人知的“连接用户体验和遥测” 当反馈中心收集信息以将其发送给 MS 时,它会执行大量文件操作,其中大部分由 SYSTEM 用户执行。事实证明,此应用程
继续阅读【漏洞复现】PHP CGI参数注入RCE漏洞(CVE-2024-4577)
【漏洞复现】PHP CGI参数注入RCE漏洞(CVE-2024-4577) YGnight night安全 2024-06-09 10:43 公众号新规 只对常读 和 星标的公众号才能展示大图推送, 建议大家把公众号“ n i g h t 安 全”设为 星 标, 否 则 可 能 就 看 不 到 啦 ! 免责声明 night安全致力于分享技术学习和工具掌握。然而请注意不得将此用于任何未经授权的非法行
继续阅读【审计0day】Dedecms最新版本RCE
【审计0day】Dedecms最新版本RCE 实战安全研究 2024-06-09 10:00 前言 前段时间朋友参加市级攻防演练正好遇到了一个医院dedecms二开的新闻站点,通过旁站sql注入成功进入dedecms后台,一看是最新版的dedecms朋友摇了摇头觉得无从下手,我直接掏出个人审计0day出来助力梦想。 以下实例讲解仅作技术分享,无教唆指导任何网络犯罪行为,因为传播利用本文所提供信息造
继续阅读新的 PHP 漏洞将 Windows 服务器暴露在远程代码执行中
新的 PHP 漏洞将 Windows 服务器暴露在远程代码执行中 道玄安全 道玄网安驿站 2024-06-09 09:49 “ 新闻” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑
继续阅读爆出 CSS 注入漏洞之后,GitHub 被玩成 QQ 空间了
爆出 CSS 注入漏洞之后,GitHub 被玩成 QQ 空间了 营销号 非尝咸鱼贩 2024-06-08 23:48 周五晚 @cloud11665 发现 GitHub 渲染 MathJax 时可以插入自定义的 CSS 样式。虽然 GitHub README 也偶有 XSS 的报告,但由于 CSP,比较难利用。 接着网友开始疯狂整活装扮 GitHub 首页,各种酷炫的动态背景,仿佛变成 QQ 空间
继续阅读【漏洞复现】PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
【漏洞复现】PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577) cexlife 飓风网络安全 2024-06-08 20:27 漏洞描述: PHP是一种在服务器端执行的脚本语言,在 PHP 的 8.3.8 版本之前存在命令执行漏洞,由于 Windows 的 “Best-Fit Mapping” 特性,在处理查询字符串时,非ASCII字符可能被错
继续阅读【安全圈】TikTok零日漏洞被利用,可一键劫持高级账户
【安全圈】TikTok零日漏洞被利用,可一键劫持高级账户 安全圈 2024-06-08 19:00 关键词 TikTok 近日,攻击者利用社交媒体直接消息功能中的零日漏洞,劫持了多家知名公司和人物的TikTok 账户。 TikTok发言人证实,索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持,为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知,但是TikTok发言人补充说
继续阅读CVE-2018-17066复现(D-Link命令注入漏洞)
CVE-2018-17066复现(D-Link命令注入漏洞) Loserme 看雪学苑 2024-06-08 17:59 CVE-2018-17066漏洞概述: 在该路由的前端页面中存在时间设置页面,但是我们手动输入的时间并没有被过滤,就会直接将数据传输到后端处理,经过一段函数调用后会将参数传入system作为参数从而实现命令注入! (任意命令执行) 环境准备:kali2023因为自带bp不用安装
继续阅读周末补漏洞:PHP CGI Windows平台远程代码执行漏洞 CVE-2024-4577
周末补漏洞:PHP CGI Windows平台远程代码执行漏洞 CVE-2024-4577 原创 SenderSu wavecn 2024-06-08 17:59 总有些事情让你周末忙个不停……昨天爆出的PHP 漏洞:CVE-2024-4577,漏洞评分高达 9.8 分(CVSSv3),虽然实际影响范围可能不大,但由于漏洞实在太容易利用而不可掉以轻心。 笔者: 国际认证信息
继续阅读CVE-2024-4577 – PHP CGI 参数注入漏洞批量(复现)Nuclei 模板
CVE-2024-4577 – PHP CGI 参数注入漏洞批量(复现)Nuclei 模板 Ots安全 2024-06-08 14:22 CVE-2024-4577 – 又一个 PHP RCE:让 PHP-CGI 参数注入再次伟大! 这是我在准备Black Hat USA演讲时发现的一个附带故事/额外漏洞。我相信大部分细节已经在官方公告中涵盖 (应该很快就会发布)。尽管随着
继续阅读PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)附poc和批量扫描脚本
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)附poc和批量扫描脚本 原创 深潜sec安全团队 深潜sec安全团队 2024-06-08 14:15 前言 在2024.6.6那天发现公众号发布了一篇很火的文章,是关于PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577),通过@Orange Tsai 几个小时前发了一条推文,称“他的一个
继续阅读【知道创宇404实验室】警惕PHP CVE-2024-4577 对XAMPP Windows 版本影响
【知道创宇404实验室】警惕PHP CVE-2024-4577 对XAMPP Windows 版本影响 知道创宇404实验室 2024-06-08 13:51 2024年6月6日,PHP官方发布新版本(8.3.8、8.2.20、8.1.29)中修复 CVE-2024-4577 PHP CGI Windows平台远程代码执行漏洞。该漏洞可以在Windows平台下使用PHP-CGI模式运行,并在使用语
继续阅读PHP 最新RCE POC (nuclei文件) (内含抽奖)
PHP 最新RCE POC (nuclei文件) (内含抽奖) 原创 fkalis fkalis 2024-06-08 13:10 1. 手工复现 验证poc: POST /php-cgi/php-cgi.exe?%add+allow_url_include%3d1+%add+auto_prepend_file%3dphp://input HTTP/1.1 Host: xxx.xxx.xxx RE
继续阅读CVE-2024-4577 PHP CGI平台远程代码执行漏洞
CVE-2024-4577 PHP CGI平台远程代码执行漏洞 原创 Mstir 星悦安全 2024-06-08 12:24 漏洞简介 PHP(Hypertext Preprocessor,超文本预处理器)是一种广泛使用的开源脚本语言,主要用于Web开发,用于生成动态网页内容。PHP的语法借鉴了C、Java、Perl等语言的特点,易于学习,并且可以快速执行 。 资产详情 Fofa:app=&quo
继续阅读PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577) 小白菜安全 小白菜安全 2024-06-08 12:05 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并
继续阅读实战-最新PHP-RCE+详细分析(CVE-2024-4577)
实战-最新PHP-RCE+详细分析(CVE-2024-4577) 原创 Gatsby 极梦C 2024-06-08 11:16 前言 最新PHP-RCE详细分析(CVE-2024-4577) 是一种对 CVE-2012-1823的一种绕过 不是星标不推送文章了。 师傅也不想吧~ 快把 极梦C设置成星标吧。 前身 最新的php rce是建立在CVE-2012-1823基础上的一次编码绕过,而CVE-
继续阅读CVE-2024-4577 PHP RCE 再次来袭!
CVE-2024-4577 PHP RCE 再次来袭! watchtowr 潇湘信安 2024-06-08 10:14 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大家把
继续阅读PHP-CGI-Argument-Injection 默认配置打法[CVE-2024-4577]
PHP-CGI-Argument-Injection 默认配置打法[CVE-2024-4577] 原创 L0ne1y 安全之道 2024-06-08 10:10 复现图 既然MSF Commit公开了打默认配置的方法也就没啥好藏的了,好像有好几个开源项目已经公开了。 GET /php-cgi/php-cgi.exe?%ADd+cgi.force_redirect%3d0+%ADd+cgi.redi
继续阅读「漏洞复现」锐捷校园网自助服务系统 login_judge.jsf 任意文件读取漏洞(XVE-2024-2116)
「漏洞复现」锐捷校园网自助服务系统 login_judge.jsf 任意文件读取漏洞(XVE-2024-2116) 冷漠安全 冷漠安全 2024-06-08 09:52 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次
继续阅读PHP-CGI Windows平台远程代码执行漏洞,启明星辰提供解决方案
PHP-CGI Windows平台远程代码执行漏洞,启明星辰提供解决方案 启明星辰集团 2024-06-08 09:05 PHP-CGI 是一种用于在 Web 服务器上运行 PHP 脚本的接口,通过 CGI(公共网关接口)将 PHP 解释器与 Web 服务器连接。允许Web服务器与外部程序(通常是编写在PHP语言中的脚本)进行交互。它为Web开发人员提供了一种灵活的方式来创建动态网页和Web应用程
继续阅读5月威胁态势 | 2024攻防演练在即 高危漏洞增速明显 银狐团伙仍高度活跃
5月威胁态势 | 2024攻防演练在即 高危漏洞增速明显 银狐团伙仍高度活跃 威胁情报中心 亚信安全 2024-06-07 22:27 近日,亚信安全正式发布《2024年5月威胁态势报告》(以下简称“报告”),报告显示,5月份新增信息安全漏洞 1301 个,涉及0day漏洞占82%;监测发现当前较活跃的勒索病毒家族是Polyransom和Blocker,病毒样本占比分别为36.13%和20.10%
继续阅读禅道最新身份认证绕过漏洞利用工具 – ZentaoExploitGUI
禅道最新身份认证绕过漏洞利用工具 – ZentaoExploitGUI GSDK安全团队 2024-06-07 20:11 01 项目地址 https://github.com/charonlight/ZentaoExploitGUI?tab=readme-ov-file 02 项目介绍 禅道项目管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修
继续阅读关于PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)简要说明
关于PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)简要说明 原创 key 中孚安全技术研究 2024-06-07 19:40 漏洞信息 2024年06月06日DEVCORE组织发布了漏洞通报,称其报送了 PHP CGI Windows平台远程代码执行 漏洞(CVE-2 024-4577 ) 。并且PHP官方也在当天发布了修 复版本。 漏洞的本质就是基于 CVE-2
继续阅读