S2-005远程代码执行漏洞
S2-005远程代码执行漏洞 原创 Hacker 0xh4ck3r 2025-03-01 02:19 S2-005远程代码执行漏洞 漏洞发现 通过网页后缀来发现是否为xxx.do 或xxx.action ,有的需要抓包看提交的请求链接是否存在以上两种情况,有的是在返回的链接上。 漏洞成因 服务器使用OGNL表达式%{value}解析每个请求参数名。OGNL表达式通过#来访问struts的对象,st
继续阅读月度归档: 2025 年 3 月
审计分析 | 一套”组合拳”造成文件上传漏洞
审计分析 | 一套”组合拳”造成文件上传漏洞 实战安全研究 2025-03-01 02:00 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 本文是记录一次利用”组合拳”拿下OA系统文
继续阅读2024年网络安全漏洞态势报告
2024年网络安全漏洞态势报告 计算机与网络安全 2025-03-01 01:57 扫码加入知识星球: 网络安全攻防(HVV) 下载全套资料 | 来源:新华三
继续阅读工具集:Java Chains【 Java 漏洞利用综合生成平台】
工具集:Java Chains【 Java 漏洞利用综合生成平台】 wolven 风铃Sec 2025-03-01 01:20 工具介绍 Java-Chains 是一个 Java Payload 生成与漏洞利用 Web 平台,便于广大安全研究员快速生成 Java Payload,以及对 JNDI 注入、MySQL JDBC 反序列化、JRMP 反序列化等漏洞进行方便快速测试,能够在一定程度上提高
继续阅读针对Swagger接口泄露未授权访问的各种姿势
针对Swagger接口泄露未授权访问的各种姿势 原创 神农Sec 神农Sec 2025-03-01 01:00 扫码领资料 获网安教程 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 加内部圈子,文末有彩蛋 (知识星球 优惠卷)。 0x1 前言 这篇文章的话主要是给师傅们
继续阅读记录一个src挖掘的骚思路
记录一个src挖掘的骚思路 原创 深潜sec安全团队 深潜sec安全团队 2025-03-01 00:06 前要 现在入行src的人太多了,很多思路已经陷入闭环不是那么好挖,我在很久以前在国外众测挖掘的时候,经常见到不要的漏洞里面有一个SPF,我就比较好奇,然后深入了解后,发现确实也有一些危害,而且国内确实没有人交过一方面的东西,结果一交,确实收获了一些赏金,这里大概是在24年初的时候,只交了4家
继续阅读【漏洞复现】可以白嫖别人的AI模型了?你的被白嫖了吗(Ollama)
【漏洞复现】可以白嫖别人的AI模型了?你的被白嫖了吗(Ollama) 小C学安全 小C学安全 2025-03-01 00:06 免责申明 本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本
继续阅读漏洞预警 | 金和OA SQL注入漏洞
漏洞预警 | 金和OA SQL注入漏洞 浅安 浅安安全 2025-03-01 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。 0x03 漏洞详情 漏洞类型: SQL注入 影
继续阅读漏洞预警 | 脸爱云一脸通智慧平台信息泄露漏洞
漏洞预警 | 脸爱云一脸通智慧平台信息泄露漏洞 浅安 浅安安全 2025-03-01 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 脸爱云一脸通智慧管理平台是一套功能强大,运行稳定,操作简单方便,用户界面美观,轻松统计数据的一脸通系统。 0x03 漏洞详情 漏洞类型: 信息泄露 影响: 获取敏感信息**** 简述: 脸爱云一
继续阅读漏洞预警 | Elber Wayber模拟数字音频密码重置漏洞
漏洞预警 | Elber Wayber模拟数字音频密码重置漏洞 浅安 浅安安全 2025-03-01 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 Elber wayber是一家专注于音频技术解决方案的公司,提供高质量的模拟和数字音频Q设备,广泛应用于专业录音、广播、现场演出和多媒体制作等领域。 0x03 漏洞详情 漏洞类型
继续阅读方正畅享全媒体新闻采编系统reportCenter.do/screen.do接口存在SQL注入 漏洞预警
方正畅享全媒体新闻采编系统reportCenter.do/screen.do接口存在SQL注入 漏洞预警 2025-2-28更新 南风漏洞复现文库 2025-02-28 22:22 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 方正畅
继续阅读POC 管理工具AI版
POC 管理工具AI版 原创 hugh 和光同尘hugh 2025-02-28 16:15 还在傻傻的自己动手写poc吗,不如试试这个!!! 基于AI 用于 Afrog poc 的生成 管理 和测试,构建自己的漏洞库 afrog poc (AI 生成 ) ———>资产搜索(获取验证目标)——>漏洞验证(验证是否可用)——>POC管理 完美闭环! 使用示例: 1、生成poc 2、
继续阅读DVR-登录绕过漏洞-CVE-2018-9995
DVR-登录绕过漏洞-CVE-2018-9995 原创 骇客安全 骇客安全 2025-02-28 16:01 漏洞描述 DVR,全称为Digital Video Recorder(硬盘录像机),即数字视频录像机。最初由阿根廷研究员发现,通过使用“Cookie: uid = admin”的Cookie标头来访问特定DVR的控制面板,DVR将以明文形式响应设备的管理员凭证。 漏洞影响 Novo CeN
继续阅读