锐捷 EWEB auth 远程代码执行漏洞
锐捷 EWEB auth 远程代码执行漏洞 HK安全小屋 2025-03-29 13:15 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 POST /cgi-bin/luci/api/auth HTTP/1.1 Host: 192.168.
继续阅读月度归档: 2025 年 3 月
Selea-OCR-ANPR摄像机-SeleaCamera-任意文件读取漏洞
Selea-OCR-ANPR摄像机-SeleaCamera-任意文件读取漏洞 原创 骇客安全 骇客安全 2025-03-29 12:48 漏洞描述 Selea OCR-ANPR摄像机 SeleaCamera 存在任意文件读取漏洞,攻击者通过构造特定的Url读取服务器的文件 漏洞影响 Selea Selea Targa IP OCR-ANPR Camera iZero Selea Selea Tar
继续阅读Sapido-多款路由器-远程命令执行漏洞
Sapido-多款路由器-远程命令执行漏洞 原创 骇客安全 骇客安全 2025-03-29 12:48 漏洞描述 Sapido多款路由器在未授权的情况下,导致任意访问者可以以Root权限执行命令 漏洞影响 BR270n-v2.1.03 BRC76n-v2.1.03 GR297-v2.1.3 RB1732-v2.0.43 FOFA app="Sapido-路由器" 漏洞复现 固件
继续阅读红队技巧分享:看看二进制漏洞研究与免杀相结合
红队技巧分享:看看二进制漏洞研究与免杀相结合 原创 老鑫安全 老鑫安全 2025-03-29 12:25 之前在一篇文章里提到过使用编码兼容性问题来绕过一些命令执行的检测。Windows编码是个很大的攻击面,用在免杀方面其实有点大材小用,一个非常棒的资料参考: https://blog.orange.tw/posts/2025-01-worstfit-unveiling-hidden-transf
继续阅读暗网漏洞交易的财富密码:如何用1个0day实现被动收入?
暗网漏洞交易的财富密码:如何用1个0day实现被动收入? 原创 道玄安全 道玄网安驿站 2025-03-29 11:27 “ 0day真的很贵嘛?。” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;
继续阅读审计技巧 | TP框架的系统如何快速高效挖掘漏洞
审计技巧 | TP框架的系统如何快速高效挖掘漏洞 WK安全 2025-03-29 10:46 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 我们系统整理了PHP的审计技巧及ThinkPHP框架的审计技巧。通过对这些文章的深入研究,结合其他权威资源,我们提取了一系列实用的代码审计方法和技巧,旨在帮助安全研究人员和开发者更有效地发现和修复PHP及ThinkPHP应用中的安全漏洞。 0x01
继续阅读CVE-2025-30208-Vite任意文件读取漏洞服批量漏洞扫描
CVE-2025-30208-Vite任意文件读取漏洞服批量漏洞扫描 原创 泷羽Sec-track 泷羽Sec-track 2025-03-29 10:37 声明!本公众号及团队所做的文章及工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!! 漏洞信息 CVE-2025-30208是Vite开发服务器 中存在的一个高危逻辑漏洞,允许攻击者通过构造特
继续阅读某云盘系统 API 端点无限制上传漏洞解析
某云盘系统 API 端点无限制上传漏洞解析 黑白之道 2025-03-29 10:09 background 在某次赚钱的时候,发现出现了这个系统的低版本 搜索了很久相关只找到了一个 简短的一句话 但没有其他漏洞细节 于是本地搭建挖一下 0x01 漏洞限制条件 首先是需要一个账号来调用后台的插件 但是本套系统默认两个账号 guest:guest demo:demo 还有一个就是要知道web的路径
继续阅读利用主流 AI(如 Kimi、DeepSeek、GPT 等)检测越权漏洞的工具
利用主流 AI(如 Kimi、DeepSeek、GPT 等)检测越权漏洞的工具 黑白之道 2025-03-29 10:09 工具介绍 PrivHunterAI一款通过被动代理方式,利用主流 AI(如 Kimi、DeepSeek、GPT 等)检测越权漏洞的工具。其核心检测功能依托相关 AI 引擎的开放 API 构建,支持 HTTPS 协议的数据传输与交互。 工作流程 使用方法 下载源代码 或 Rel
继续阅读CVE-2025-24016漏洞对Wazuh平台的潜在威胁
CVE-2025-24016漏洞对Wazuh平台的潜在威胁 原创 メ念灬蜘蛛 山石网科安全技术研究院 2025-03-29 09:00 立即行动!保护您的Wazuh服务器免受远程代码执行攻击! 近日,Wazuh平台曝出一个严重安全漏洞(CVE-2025-24016),评分高达9.9,可能允许攻击者远程执行代码,控制您的服务器。这一漏洞影响Wazuh Manager4.4.0至4.9.0版本,威胁级
继续阅读海外SRC漏洞挖掘|助你快速成为百万赏金猎人
海外SRC漏洞挖掘|助你快速成为百万赏金猎人 迪哥讲事 2025-03-28 22:06 0x01 培训介绍 在SRC漏洞挖掘当中,随着攻击面的缩小,常规姿势与技巧已经无法挖掘出比较满意的漏洞。那么本课程将会给你带来国内外SRC漏洞挖掘 的骚姿势以及奇淫技巧!通过丰富的案例以及生动且简单易懂的教学带你快速上手漏洞挖掘当中的方方面面。通过本课程,了解国内外漏洞挖掘不同的思路,并且提升国内外漏洞挖掘的
继续阅读SAP_EEM_CVE-2020-6207-PoC
SAP_EEM_CVE-2020-6207-PoC 骇客安全 骇客安全 2025-03-28 21:56 SAP_EEM_CVE-2020-6207 PoC SAP Solution Manager是德国思爱普(SAP)公司的一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。该平台可以帮助客户建立SAP解决方案的生命周期管理,并提供系统监控、远程支持服务和SAP
继续阅读Panabit-智能应用网关-后台命令执行漏洞
Panabit-智能应用网关-后台命令执行漏洞 原创 骇客安全 骇客安全 2025-03-28 21:56 Panabit 智能应用网关 后台命令执行漏洞 Panabit 智能应用网关 ajax_top 后台存在命令执行漏洞,攻击者可以以root权限运行部分危险命令. fofa:cert=”panabit.com” && body=”/login
继续阅读Nokia-G-120W-F-路由器存储型XSS(CVE-2021-30003)
Nokia-G-120W-F-路由器存储型XSS(CVE-2021-30003) 原创 骇客安全 骇客安全 2025-03-28 21:56 在诺基亚 G-120W-F 3FE46606AGAB91设备上发现了一个存储型XSS。 详情分析: https://research.0xdutra.com/posts/router-g120w-f/ poc: curl ‘http://192.168.23
继续阅读【成功复现】Vite任意文件读取漏洞(CVE-2025-30208)
【成功复现】Vite任意文件读取漏洞(CVE-2025-30208) 原创 弥天安全实验室 弥天安全实验室 2025-03-28 20:58 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Vite是Vite开源的一种新型的前端构建工具。Vite存在访问控制错误漏洞,该漏洞源于URL中的?raw??或?imp
继续阅读一个漏洞POC知识库 目前数量 1000+
一个漏洞POC知识库 目前数量 1000+ 海底天上月 海底天上月 2025-03-28 20:38 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。 0x01 漏洞描述 – CMS漏洞 74cms v4.2.1 v4.2.129 后台getshell漏洞
继续阅读Mozilla紧急修复Firefox高危漏洞 与Chrome零日漏洞原理相似
Mozilla紧急修复Firefox高危漏洞 与Chrome零日漏洞原理相似 FreeBuf 2025-03-28 19:57 在谷歌修复Chrome浏览器中一个已被积极利用的零日漏洞数日后,Mozilla也发布了针对Windows版Firefox浏览器高危安全漏洞的更新补丁。 漏洞详情与修复版本 该安全漏洞编号为CVE-2025-2857,被描述为”错误句柄导致沙箱逃逸”
继续阅读逆变器僵尸网络?全球三大光伏逆变器产品曝出数十个严重漏洞
逆变器僵尸网络?全球三大光伏逆变器产品曝出数十个严重漏洞 网络安全与人工智能研究中心 2025-03-28 19:30 近日,网络安全公司Forescout旗下研究机构Vedere Labs发布了一份重磅报告,披露了全球三大领先太阳能逆变器制造商——尚德(Sungrow)、固德威(Growatt)和SMA的产品中存在多达46个安全漏洞。 这些漏洞可能被攻击者利用,远程控制设备或在厂商的云平台上执行
继续阅读【安全圈】针对近期 Chrome 零日漏洞的利用,Mozilla 向 Windows 用户发布紧急补丁
【安全圈】针对近期 Chrome 零日漏洞的利用,Mozilla 向 Windows 用户发布紧急补丁 安全圈 2025-03-28 19:01 关键词 零日漏洞 Mozilla 针对 Windows 系统上的 Firefox 浏览器发布了紧急安全更新,以解决一个严重漏洞,该漏洞可能允许攻击者逃离浏览器沙盒并可能控制受影响的系统。 此前不久,谷歌刚刚修复了Chrome 中一个类似的零日漏洞,该漏
继续阅读【漏洞预警】Splunk远程代码执行漏洞(CVE-2025-20229)
【漏洞预警】Splunk远程代码执行漏洞(CVE-2025-20229) cexlife 飓风网络安全 2025-03-28 18:55 漏洞描述: Splunk Enterprise是一款强大的数据分析平台,专注于机器数据的收集、监控和分析,广泛应用于日志管理、安全信息事件管理(SIEM)和IT运维,能够帮助组织实时获取操作数据、检测异常、分析趋势,并提供可视化报表和警报功能。Splunk Cl
继续阅读【漏洞预警】Microsoft Windows文件资源管理器欺骗漏洞(CVE-2025-24071)
【漏洞预警】Microsoft Windows文件资源管理器欺骗漏洞(CVE-2025-24071) cexlife 飓风网络安全 2025-03-28 18:55 漏洞描述: Windows文件资源管理器(File Explorer)是Windows操作系统中用于浏览、管理和操作文件和文件夹的核心工具。它提供直观的界面,支持文件的创建、复制、移动、删除、重命名以及访问网络共享和外部设备。用户可以
继续阅读【漏洞预警】Google Chrome沙箱逃逸漏洞(CVE-2025-2783)
【漏洞预警】Google Chrome沙箱逃逸漏洞(CVE-2025-2783) cexlife 飓风网络安全 2025-03-28 18:55 漏洞描述: 漏洞源于Gооɡlе Chrоmе沙箱机制与Windоԝѕ操作系统内核交互时的逻辑错误,攻击者可利用该漏洞绕过沙箱隔离机制造成信息泄露、代码执行等危害。 攻击场景: 攻击者可能通过用户交互,上传恶意文件,绕过沙箱隔离机制,造成信息泄露、代码执
继续阅读漏洞复现篇 | Vite任意文件读取漏洞:CVE-2025-30208,最新!
漏洞复现篇 | Vite任意文件读取漏洞:CVE-2025-30208,最新! 原创 零日安全实验室 零日安全实验室 2025-03-28 18:26 免责声明! 本 公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。 0x01 漏洞描述 Vite 是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力
继续阅读本周最新的、复现超简单的Vite任意文件读取漏洞(CVE-2025-30208)
本周最新的、复现超简单的Vite任意文件读取漏洞(CVE-2025-30208) 原创 a1batr0ss 天翁安全 2025-03-28 18:16 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严
继续阅读重大工控漏洞曝光,工业网络安全如何保障?
重大工控漏洞曝光,工业网络安全如何保障? 原创 自主研发技术驱动 珞安科技 2025-03-28 18:04 1 重大工控漏洞危及企业生产安全 近日,据国内网络安全权威媒体报道,瑞士安全公司PRODAFT公开了两项影响mySCADA myPRO系统的高危漏洞,即CVE-2025-20014和CVE-2025-20061的详细信息,并向工业企业提供了实用的防护建议。 报道显示,CVE-2025-20
继续阅读Splunk 高危漏洞:攻击者可通过文件上传执行任意代码
Splunk 高危漏洞:攻击者可通过文件上传执行任意代码 信息安全大事件 2025-03-28 18:02 Splunk 近日发布补丁,修复了影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行(RCE)漏洞。该漏洞编号为 CVE-2025-20229,可能允许低权限用户通过上传恶意文件执行任意代码。 漏洞影响范围 该漏洞存在于以下版本中:
继续阅读安全内参|面向漏洞编程:如何让AI编程助手生成带后门的代码
安全内参|面向漏洞编程:如何让AI编程助手生成带后门的代码 安全内参编译 上汽集团网络安全应急响应中心 2025-03-28 18:01 文章来 源 : 安全内参 研究人员发现,通过在AI编程助手的规则文件中植入不良内容,来诱导Cursor或GitHub Copilot生成不安全的代码,攻击者可以通过在论坛或GitHub分享包含规则文件的代码库来实施软件供应链攻击。 前情回顾·大模型安全动态 &#
继续阅读【霄享·安全】XML外部实体注入(XXE)漏洞简介(总第50期月刊)
【霄享·安全】XML外部实体注入(XXE)漏洞简介(总第50期月刊) 原创 刘宇凡 上汽集团网络安全应急响应中心 2025-03-28 18:01 漏洞描述 XML外部实体注入(XML External Entity Injection,XXE)漏洞是指攻击者通过构造恶意XML数据,利用应用程序未正确配置XML解析器的安全策略,诱导系统执行非授权操作(如文件读取、网络请求、服务端请求伪造等)。 1
继续阅读CVE-2023-4427 复现
CVE-2023-4427 复现 flyyyy 看雪学苑 2025-03-28 18:00 环境搭建 编译debug版本,is_debug=true git checkout 12.2.149 gclient sync -D git apply diff.patch gn gen out/debug –args="symbol_level=2 blink_symbol_level=2
继续阅读Firefox 存在严重漏洞,类似于 Chrome 已遭利用0day
Firefox 存在严重漏洞,类似于 Chrome 已遭利用0day Ravie Lakshmanan 代码卫士 2025-03-28 17:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 公司发布更新,修复了影响其 Firefox Windows 版本的一个严重漏洞,而该漏洞与此前已遭利用的 Chrome 0day类似。 Mozilla 公司修复的漏洞编号是CVE-2
继续阅读