海康威视iSecure Center综合安防管理平台center任意文件上传漏洞
海康威视iSecure Center综合安防管理平台center任意文件上传漏洞 原创 菜鸟学渗透 菜鸟学渗透 2025-01-06 02:50 使用说明:本文章仅用于学习技术研究,请勿用于违法用途,造成任何后果自负与本人无关,请自觉遵守国家法律法规。 1、漏洞描述 HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场
继续阅读月度归档: 2025 年 1 月
【漏洞复现】某平台-LicManage-sql注入漏洞
【漏洞复现】某平台-LicManage-sql注入漏洞 原创 南极熊 SCA御盾 2025-01-06 02:06 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果
继续阅读Jeecg框架漏洞利用工具
Jeecg框架漏洞利用工具 SecHub网络安全社区 2025-01-06 02:01 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。 文中所涉及的技术、思路及
继续阅读严重漏洞,数十万大众电动车主数据可能遭到泄漏
严重漏洞,数十万大众电动车主数据可能遭到泄漏 龙猫 星尘安全 2025-01-06 02:00 点击上方 蓝字 关注我们 事件概览 800,000 辆 Volkswagen Group 电动汽车的敏感数据在不安全的云服务器上暴露。 举报人发现的数据泄露包括 GPS 数据和车辆状态,从而可以跟踪车主。 受影响的用户包括政治家、警察和情报人员,其中大多数车辆位于欧洲。 数据泄露泄露了个人的日常活动和位
继续阅读刷脸登录银行 App 现他人信息,银行回应称“网络抖动带来的极小概率事件”|Windows 曝9.8分漏洞,已有PoC及利用情况
刷脸登录银行 App 现他人信息,银行回应称“网络抖动带来的极小概率事件”|Windows 曝9.8分漏洞,已有PoC及利用情况 黑白之道 2025-01-06 01:55 刷脸登录银行 App 现他人信息,银行回应称“网络抖动带来的极小概率事件” 1 月 5 日消息,据“潮新闻”报道,最近杭州市民魏先生却遇上了一件意外事件,登录某银行企业客户端时,刷脸刷出来的却是别人的账号。 1 月 2 日当天
继续阅读ysoSimple:简易的Java漏洞利用工具
ysoSimple:简易的Java漏洞利用工具 黑白之道 2025-01-06 01:55 01 工具介绍 ysoSimple: 简易的Java漏洞利用工具,集成Java反序列化,Hessian反序列化,XStream反序列化,SnakeYaml反序列化,Shiro550,JSF反序列化,SSTI模板注入,JdbcAttackPayload,JNDIAttack,字节码生成。 ysoSimple工
继续阅读【漏洞复现】MasterSAM存在任意文件下载漏洞(CVE-2024-55457)
【漏洞复现】MasterSAM存在任意文件下载漏洞(CVE-2024-55457) 原创 漏洞文库 漏洞文库 2025-01-06 01:46 免责声明**** 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具
继续阅读【漏洞复现】DataEase数据可视化分析平台JWT硬编码身份认证绕过漏洞
【漏洞复现】DataEase数据可视化分析平台JWT硬编码身份认证绕过漏洞 原创 漏洞文库 漏洞文库 2025-01-06 01:46 免责声明**** 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的
继续阅读【漏洞文章】大华智能物联综合管理平台远程代码执行漏洞
【漏洞文章】大华智能物联综合管理平台远程代码执行漏洞 原创 1ang 小羊安全屋 2025-01-06 01:13 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PAR
继续阅读【漏洞复现】快云服务器助手GetDetail接口文件任意文件读取漏洞
【漏洞复现】快云服务器助手GetDetail接口文件任意文件读取漏洞 FL_Clover 网络安全007 2025-01-06 01:01 漏洞介绍 在当今复杂多变的网络安全环境中, 快云服务器助手存在的 GetDetail 任意文件读取漏洞,是一个具有较高安全风险的隐患。该漏洞使得不法分子有可能利用其机制上的缺陷,通过构造特定的请求等方式,突破正常的权限限制,实现对服务器上任意文件进行读取操作。
继续阅读【Nday漏洞分析】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)
【Nday漏洞分析】ProjectSend 身份认证绕过漏洞(CVE-2024-11680) jylove 神农Sec 2025-01-06 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://zone.huoxian.cn/d/2961-ndayproje
继续阅读W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞
W&Jsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞 原创 菜鸟学渗透 菜鸟学渗透 2025-01-06 00:30 一、漏洞简介 W&Jsoft-D-Security数据防泄露系统(DLP)存在的任意文件读取漏洞,源于对用户输入路径缺乏充分验证,攻击者可通过构造路径穿越字符读取服务器上的任意文件,可能导致敏感信息泄露,如配置文件、用户数据等。建议通过严
继续阅读漏洞预警 | 安科瑞环保用电监管云平台SQL注入漏洞
漏洞预警 | 安科瑞环保用电监管云平台SQL注入漏洞 浅安 浅安安全 2025-01-06 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 安科瑞环保用电监管云平台集成了物联网技术、云计算和大数据分析,通过对企业和工业园区的用电情况实时采集、监测和分析,为环保合规、能耗管理和智能用电提供技术支持。 0x03 漏洞详情 漏洞类型
继续阅读漏洞预警 | 友数聚CPAS审计管理系统SQL注入和任意文件读取漏洞
漏洞预警 | 友数聚CPAS审计管理系统SQL注入和任意文件读取漏洞 浅安 浅安安全 2025-01-06 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 友数聚CPAS审计管理系统是友数聚科技有限公司开发的一款审计软件产品,它是CPAS审计信息系统的一个重要组成部分。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 窃取
继续阅读漏洞预警 | WordPress Plugin Tutor SQL注入漏洞
漏洞预警 | WordPress Plugin Tutor SQL注入漏洞 浅安 浅安安全 2025-01-06 00:00 0x00 漏洞编号 – # CVE-2024-10400 0x01 危险等级 – 高危 0x02 漏洞概述 Tutor LMS是一个轻量级、功能丰富且强大的WordPressLMS插件,可以轻松地在线创建和销售课程。 0x03 漏洞详情 CVE-20
继续阅读黑客利用 DoS 漏洞禁用 Palo Alto Networks 防火墙
黑客利用 DoS 漏洞禁用 Palo Alto Networks 防火墙 Rhinoer 犀牛安全 2025-01-05 16:00 Palo Alto Networks 警告称,黑客正在利用 CVE-2024-3393 拒绝服务漏洞,通过强制重启来禁用防火墙保护。 然而,反复利用该安全问题会导致设备进入维护模式,需要人工干预才能恢复正常运行。 公告中指出:“Palo Alto Networks
继续阅读杜特网上订单管理系统 Login.ashx SQL注入漏洞
杜特网上订单管理系统 Login.ashx SQL注入漏洞 Superhero nday POC 2025-01-05 15:12 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并
继续阅读生命港湾 服务配置工具平台 Download 任意文件读取漏洞
生命港湾 服务配置工具平台 Download 任意文件读取漏洞 Superhero nday POC 2025-01-05 14:06 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读大华DSS城市安防监控平台login_init.action远程命令执行漏洞
大华DSS城市安防监控平台login_init.action远程命令执行漏洞 安全透视镜 网络安全透视镜 2025-01-05 14:00 一、漏洞描述 大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统。该平台登录接口存在远程命令执行漏洞,攻击者通过在请求头中构造payload实现远程命令执行,可获取服务器管理权限 二、fofa搜索 fofa查询语法 app="da
继续阅读研究人员发布针对 Windows LDAP 漏洞的 PoC 漏洞利用程序
研究人员发布针对 Windows LDAP 漏洞的 PoC 漏洞利用程序 原创 很近也很远 网络研究观 2025-01-05 13:27 SafeBreach Labs 发布了针对 CVE-2024-49113 的概念验证 (PoC) 漏洞利用,该漏洞是 Microsoft Windows 轻量级目录访问协议 (LDAP) 中的拒绝服务 (DoS) 漏洞。 除此之外,研究人员还详细介绍了他们利用相
继续阅读【漏洞工具】小米路由器任意文件读取漏洞python图形化框架利用工具
【漏洞工具】小米路由器任意文件读取漏洞python图形化框架利用工具 原创 儒道易行 儒道易行 2025-01-05 12:00 为众人抱薪者,不可使其冻毙于风雪;为自由开路者,不可使其困顿于荆棘。 工具利用 1.此框架漏洞利用工具封装request模块进行调用,修改框架中request固定的限制,可以使请求更灵活 2.后续可以添加其它漏洞,从而实现多漏洞一键检测 poc 本文poc、工具、源码加
继续阅读Windows LDAP远程代码执行漏洞(CVE-2024-49112)
Windows LDAP远程代码执行漏洞(CVE-2024-49112) 网安百色 2025-01-05 11:30 点击上方 蓝字 关注我们吧~ 一、漏洞概述 漏洞名称 Windows LDAP远程代码执行漏洞 CVE ID CVE-2024-49112 漏洞类型 整数溢出 发现时间 2024-12-11 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互
继续阅读【安全圈】已打补丁但仍有漏洞 Windows BitLocker 加密再次被绕过
【安全圈】已打补丁但仍有漏洞 Windows BitLocker 加密再次被绕过 安全圈 2025-01-05 11:00 关键词 安全漏洞 上周,在混沌通信大会(CCC)上出现的一个新发现动摇了 Windows 可信赖的 BitLocker 加密技术的基础。安全研究员托马斯-兰伯茨(Thomas Lambertz)在其题为 “Windows BitLocker:没有螺丝刀也能拧紧 ”的演讲中暴露
继续阅读【安全圈】CVE-2024-21182: 针对严重 WebLogic 漏洞发布 PoC 漏洞利用代码
【安全圈】CVE-2024-21182: 针对严重 WebLogic 漏洞发布 PoC 漏洞利用代码 安全圈 2025-01-05 11:00 关键词 安全漏洞 一名安全研 究人员针对 Oracle WebLogic Server 中的一个关键漏洞 CVE-2024-21182 发布了一个概念验证 (PoC) 漏洞利用程序。 该漏洞被评为 CVSS 7.5 级,受影响系统将面临潜在的破坏性后果,包
继续阅读【漏洞复现】内训宝 SCORM 模块存在任意文件上传漏洞
【漏洞复现】内训宝 SCORM 模块存在任意文件上传漏洞 FL_Clover 网络安全007 2025-01-05 08:26 漏洞介绍 在当今复杂多变的网络安全环境中, 近期发现内训宝 SCORM 模块存在任意文件上传漏洞,该漏洞允许未经授权的用户绕过正常文件上传限制,上传恶意文件。此漏洞影响范围广,会导致安全风险、信息泄露等危害。建议采取紧急修复、加强安全防护、监控检测以及培训教育等措施。 建
继续阅读DataEase 严重级别任意登录漏洞 POC 已公开
DataEase 严重级别任意登录漏洞 POC 已公开 原创 一个不正经的黑客 一个不正经的黑客 2025-01-05 02:04 DataEase 严重级别任意登录漏洞 POC 已公开 1.DataEase 简介 DataEase 是一个开源的数据可视化分析工具 项目地址:https://github.com/dataease/dataease 目前 Github 平台已经高达 18.7K St
继续阅读(滥用) ClickOnce 实现可信任意代码执行
(滥用) ClickOnce 实现可信任意代码执行 Nick Powers securitainment 2025-01-04 23:04 Less SmartScreen More Caffeine (Ab)Using ClickOnce for Trusted Code Execution 随着初始访问的门槛不断提高,我们花时间研究了 ClickOnce 部署的一些可能较少人知的武器化选项。通
继续阅读【漏洞工具】小米路由器任意文件读取漏洞python图形化单一利用工具
【漏洞工具】小米路由器任意文件读取漏洞python图形化单一利用工具 原创 儒道易行 儒道易行 2025-01-04 12:00 如果我嚷几声,能叫醒那几个人,你就绝不能说他没有毁坏这铁屋的希望 工具利用 本文poc、工具、源码加圈获取 知识星球 纷传 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。 免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使
继续阅读【安全圈】微软 Win11 BitLocker 存在物理接触即可绕过的重大漏洞
【安全圈】微软 Win11 BitLocker 存在物理接触即可绕过的重大漏洞 安全圈 2025-01-04 11:00 关键词 漏洞 1月2日,安全专家揭示,微软Windows 11中的BitLocker加密技术存在一个严重漏洞。黑客只需通过一次物理接触,就能将设备置入恢复模式,并通过网络连接,轻松解密Windows 11系统。 在最近的混沌通信大会上,安全研究员兼硬件黑客Thomas Lamb
继续阅读【安全圈】开源终端工具曝重大安全漏洞,输入信息可能被窃取!
【安全圈】开源终端工具曝重大安全漏洞,输入信息可能被窃取! 安全圈 2025-01-04 11:00 关键词 漏洞 近日,知名开源终端模拟器的一项安全问题引发关注:其 SSH 集成功能存在关键漏洞,可能导致用户的输入和输出记录被写入远程主机的 /tmp/framer.txt 文件。更为严重的是,该文件对远程主机上的其他用户可见,存在数据泄露风险。 受影响版本 此次漏洞影响范围包括以下版本: 
继续阅读