edu挖掘从弱口令到RCE
edu挖掘从弱口令到RCE 扫地僧的茶饭日常 2025-01-04 08:02 扫码领资料 获网安教程 本文由掌控安全学院 – 洛川 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 访问某学校官网点击教务在线 找到实践教学管理平台 来到学校的毕业设计系统登录界面 通过弱口令学号学号登录进去,学号直接搜索引擎搜索得到即可 发现coo
继续阅读月度归档: 2025 年 1 月
山石安研院2024年度代表性原创0day漏洞
山石安研院2024年度代表性原创0day漏洞 原创 NEURON 山石网科安全技术研究院 2025-01-04 05:25 在过去的一年中安全技术研究院三大实验室挖掘了无数的各类原创0day漏洞,帮助国内外各大厂商修复了众多的高危及严重漏洞,由于CNVD的漏洞最高级别只是高危,所以有些超危、严重的漏洞都算为高危了。这里仅以CNVD为例展示部分有代表性的漏洞,也可以看出近几年的物联网类设备都是安全漏
继续阅读WeChatMsg:生成你的 2024 微信年报
WeChatMsg:生成你的 2024 微信年报 小白安全工具 2025-01-04 02:19 微信公众号:[小白安全工具] 分享安全工具与安全漏洞。问题或建议,请公众号留言。该开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任。 WeChatMsg 简介 在这里,每一次的聊天记录都像是时光长河里的璀璨明珠,串联起了一整年的喜怒哀乐、
继续阅读遗憾!某漏洞挖掘者错失$60000微软奖金!
遗憾!某漏洞挖掘者错失$60000微软奖金! 原创 JUN哥 君说安全 2025-01-04 02:16 ❤* 请点击上方 ⬆ ⬆ ⬆ 关注*君说安全!❤ “ 遗憾!某漏洞挖掘者错失$60000微软奖金。” 国内漏洞挖掘的优秀人员M1n9K1n9在APT250自曝,由于没有对漏洞的隐秘性做好保护,因此错失了微软$60000奖金。 微软赏金计划,主要鼓励安全研究人员发现微软相关软件漏洞的赏金计划
继续阅读FreeBuf周报 | 超过300万台未加密的邮件服务器暴露;WPA3协议存在安全漏洞
FreeBuf周报 | 超过300万台未加密的邮件服务器暴露;WPA3协议存在安全漏洞 Zicheng FreeBuf 2025-01-04 02:02 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 用户集体起诉Siri“偷听” 1月3日消息,科技巨头苹果公司同意支付950
继续阅读2024年度漏洞态势分析报告
2024年度漏洞态势分析报告 计算机与网络安全 2025-01-04 01:57 微信公众号 计算机与网络安全 加入知识星球: 网络安全攻防(HVV) 下载文件**** | 来源: 安恒信息
继续阅读漏洞预警 | 博斯外贸管理软件SQL注入漏洞
漏洞预警 | 博斯外贸管理软件SQL注入漏洞 浅安 浅安安全 2025-01-04 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 博斯外贸管理软件是一款专为外贸行业设计的企业管理系统,旨在帮助外贸企业优化业务流程,提高工作效率,并实现信息化管理。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 窃取敏感信息 简述: 博斯
继续阅读漏洞预警 | 卓软计量业务管理平台任意文件读取漏洞
漏洞预警 | 卓软计量业务管理平台任意文件读取漏洞 浅安 浅安安全 2025-01-04 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 卓软计量业务管理平台是一款专为计量测试检定机构设计的信息化管理系统。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 卓软计量业务管理平台的/HuameiMeas
继续阅读漏洞预警 | Apache MINA反序列化漏洞
漏洞预警 | Apache MINA反序列化漏洞 浅安 浅安安全 2025-01-04 00:03 0x00 漏洞编号 – # CVE-2024-52046 0x01 危险等级 – 高危 0x02 漏洞概述 Apache MINA是一个高性能的网络通信框架,旨在帮助开发人员快速构建和管理网络应用程序。 0x03 漏洞详情 CVE-2024-52046 漏洞类型: 反序列化
继续阅读【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了
【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了 原创 仙草里没有草噜丶 泷羽Sec 2025-01-03 23:44 ~ 历遍山河,仍觉人间值得 ~ Tr0ll level 1 这里是综合的,前两篇已经发过了1和2,可以直接跳过这里,看level 3,,当然也可以回顾回顾思路,考试的时候指不定就忘了 靶机1,主要是利用了ftp匿名登录 image-20241224010611985
继续阅读攻防靶场(31):日志投毒与文件包含漏洞 Solstice
攻防靶场(31):日志投毒与文件包含漏洞 Solstice 原创 罗锦海 OneMoreThink 2025-01-03 17:17 目录 侦查 1.1 收集目标网络信息:IP地址 1.2 主动扫描:扫描IP地址段 初始访问 2.1 利用面向公众的应用 权限提升 3.1 利用漏洞提权:高权限运行的程序 靶机下载地址:https://www.vulnhub.com/entry/sunset-sols
继续阅读大华智能物联综合管理平台RCE远程代码执行漏洞-影响资产8000+| 漏洞预警
大华智能物联综合管理平台RCE远程代码执行漏洞-影响资产8000+| 漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2025-01-03 16:00 0x01 产品简介 大华智能物联综合管理平台,作为浙江大华技术股份有限公司推出的一款集成了多项业务管理功能的平台软件,该平台主要面向智能园区、商业综合体等多种应用场景,旨在提供一个全面、高效的解决方案,为客户提供一套集成、
继续阅读【漏洞复现】方正畅享全媒体新闻采编系统imageProxy存在任意文件读取漏洞
【漏洞复现】方正畅享全媒体新闻采编系统imageProxy存在任意文件读取漏洞 原创 xiachuchunmo 银遁安全团队 2025-01-03 16:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 方正全媒体新闻采编系统是面向媒体深度融合的技术平台,以大数据和AI技术为支撑,集指挥中心、采集中心、编辑中心、发布中心、绩效考核中心、资料中心
继续阅读当黑客那些年之帐户接管系列漏洞-案例一斩获1000$
当黑客那些年之帐户接管系列漏洞-案例一斩获1000$ 迪哥讲事 2025-01-03 15:27 当黑客那些年之帐户接管系列漏洞-案例一斩获1000$ 这篇文章将介绍作者在 Hackerone 的私人项目中发现的一个漏洞,该漏洞允许我接管任何用户的账户。 在开始之前,我想先提供一些关于 Host 头的小基础知识。 什么是 HTTP Host 头? HTTP Host 头是 HTTP/1.1 中的必
继续阅读【高危漏洞预警】Windows LDAP远程代码执行漏洞(CVE-2024-49112)
【高危漏洞预警】Windows LDAP远程代码执行漏洞(CVE-2024-49112) cexlife 飓风网络安全 2025-01-03 14:37 漏洞描述: Windows Lightweight Directory Access Protocol (LDAP) 是一种基于 LDAP协议的轻量级目录访问协议,广泛用于WindowsActive Directory(AD)环境中,用来访问和管
继续阅读【已复现】Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞(CVE-2024-49113)安全风险通告
【已复现】Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞(CVE-2024-49113)安全风险通告 奇安信 CERT 2025-01-03 14:18 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞 漏洞编号 QVD-2024-50137,CVE-2024-49113 公开时间 2024-12-1
继续阅读【漏洞工具】小米路由器任意文件读取漏洞python命令行利用工具
【漏洞工具】小米路由器任意文件读取漏洞python命令行利用工具 原创 儒道易行 儒道易行 2025-01-03 12:00 六朝何事,只成门户私计! 工具利用 本文poc、工具、源码加圈获取 知识星球 纷传 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。 免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。
继续阅读【安全圈】伪造的 7-Zip 漏洞代码被追溯到人工智能产生的误解
【安全圈】伪造的 7-Zip 漏洞代码被追溯到人工智能产生的误解 安全圈 2025-01-03 11:00 关键词 安全漏洞 网络安全社区最近面临着一场轰动,起因是社交媒体平台 X(正式名称为 Twitter)的一名用户声称拥有流行文件归档程序 7-Zip 的零日漏洞。 该用户名为 @NSA_Employee39 的用户声称他们发现了一个严重漏洞,该漏洞可能允许攻击者通过利用7-Zip 软件中的缓
继续阅读【成功复现】大华智能物联综合管理平台远程代码执行漏洞
【成功复现】大华智能物联综合管理平台远程代码执行漏洞 奥村燐 弥天安全实验室 2025-01-03 10:50 网安引领时代,弥天点亮未来 **** 0x00漏洞描述 大华智能物联综合管理平台 GetClassValue.jsp 接口存在远程代码执行漏洞,未经身份验证的恶意攻击者可以利用该漏洞远程执行任意命令,获取系统权限。 0x01影响范围 该漏洞影响所有未更新修复补丁的大华智能物联综合管理平台
继续阅读大量 Four-Faith 路由器因严重漏洞面临远程攻击风险
大量 Four-Faith 路由器因严重漏洞面临远程攻击风险 河北镌远 河北镌远网络科技有限公司 2025-01-03 10:29 点击“蓝字” 一起来关注我们吧 近日,网络安全公司VulnCheck揭露了一项针对四信(Four-Faith)工业路由器的高风险漏洞,该漏洞被标识为CVE-2024-12856。这一操作系统命令注入错误允许远程攻击者在特定条件下执行任意命令,具体来说,只有当攻击者能够
继续阅读第一章课时12已更新!系统0day安全-IOT设备漏洞挖掘(第6期)
第一章课时12已更新!系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-01-03 09:58 第一章已更新完成 后续章节陆续更新中 想报名的学员抓紧时间啦~ 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入
继续阅读2024年度网络安全热点事件盘点
2024年度网络安全热点事件盘点 原创 Hackernews 安全威胁纵横 2025-01-03 09:06 随着2024年的落幕,全球网络安全领域经历了一系列深刻变化和挑战。这一年,我们见证了网络攻击的规模和复杂性达到了前所未有的水平,从勒索软件的全球肆虐到数据泄露事件的惊人规模,网络安全事件的频发不仅考验了各国的安全防御能力,也暴露了数字化世界中的脆弱性。AI技术的双刃剑效应愈发明显,一方面,
继续阅读关于防范Apache Struts2任意文件上传超危漏洞的风险提示
关于防范Apache Struts2任意文件上传超危漏洞的风险提示 CSTIS 网络安全威胁和漏洞信息共享平台 2025-01-03 09:04 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源应用框架 Apache Struts2 存在任意文件上传超危漏洞,可被恶意利用实现远程代码执行,导致敏感数据泄露和系统受控。 Apache Struts2 是一款开源 Jav
继续阅读Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步
Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步 蚁景网络安全 2025-01-03 09:03 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等
继续阅读[漏洞复现]大*智能物联平台GetClassValue命令执行漏洞
[漏洞复现]大*智能物联平台GetClassValue命令执行漏洞 原创 zzz 良月安全 2025-01-03 08:32 免责声明 本公众号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。 漏洞分析 漏洞挺简单的,直接用 Cla
继续阅读Web安全进阶:漏洞分析与防范实战技巧
Web安全进阶:漏洞分析与防范实战技巧 IT阅读排行榜 亿人安全 2025-01-03 08:29 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景
继续阅读【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神!
【文末抽奖】看完这篇《Web漏洞分析与防范实战》成为Web大神! 落寞的魚丶 鱼影安全 2025-01-03 08:18 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大
继续阅读圣乔ERP系统 DwrUtil SQL注入漏洞
圣乔ERP系统 DwrUtil SQL注入漏洞 Superhero nday POC 2025-01-03 07:58 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉。谢谢!
继续阅读圣乔ERP系统 ResultSetConvertor SQL注入漏洞
圣乔ERP系统 ResultSetConvertor SQL注入漏洞 Superhero nday POC 2025-01-03 07:39 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即
继续阅读文件读取漏洞实战利用
文件读取漏洞实战利用 WIN哥学安全 2025-01-03 06:50 点击上方蓝字关注我们 申明:文章仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。 本文由subjcw师傅发表在奇安信攻防社区 文章地址:https://forum.butian.net/share/4017 Nginx配置文件利用 第一处文件读取,严
继续阅读