searchsploit漏洞辅助利用工具
searchsploit漏洞辅助利用工具 原创 simeon的文章 小兵搞安全 2024-12-03 15:04 在提权过程中需要通过掌握的信息来对系统、软件等存在的漏洞进行搜索,获取其利用的poc,通过编译后,实施提权。searchsploit提供漏洞本地和在线查询,是渗透测试中提权的重要武器。 1.1searchsploit简介 Exploit Database(https://github.
继续阅读标签: 代码
漏洞推送|某空WMS-仓储精细化管理系统 SaveCrash.ashx存在文件上传漏洞
漏洞推送|某空WMS-仓储精细化管理系统 SaveCrash.ashx存在文件上传漏洞 小白菜安全 小白菜安全 2024-12-03 12:11 漏洞描述 时空精益仓储管理系统(时空WMS)可以达到简化工作流程,提高仓库作业质量和工作效率的目的。该系统SaveCrash.ashx存在文件上传漏洞。 资产信息 fofa:body=”SKControlKLForJson.ashx̶
继续阅读【复现】泛微 e-cology前台SQL注入漏洞风险通告
【复现】泛微 e-cology前台SQL注入漏洞风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-12-03 11:20 赛博昆仑漏洞安全通告- 泛微 e-cology前台SQL注入漏洞风险通告 漏洞描述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大
继续阅读两个影响WPS Office的任意代码执行漏洞分析
两个影响WPS Office的任意代码执行漏洞分析 zhuanfa 黑客街安全团队 2024-12-03 11:17 转发 freebuf ESET研究人员在WPS Office for Windows中发现了一个代码执行漏洞(CVE- 2024-7262),该漏洞正被韩国网络间谍组织APT-C-60滥用。在分析了根本原因后,另一种任意代码执行漏洞(CVE-2924-7263)浮出水面。目前,两个
继续阅读新型恶意软件能利用LogoFAIL漏洞感染Linux系统
新型恶意软件能利用LogoFAIL漏洞感染Linux系统 Zicheng FreeBuf 2024-12-03 11:02 据BleepingComputer消息,韩国Best of the Best (BoB) 培训计划的网络安全学生利用 LogoFAIL 漏洞创建了新型恶意软件Bootkitty,能够攻击Linux系统设备。 固件安全公司Binarly 于2023 年 11 月发现了 Logo
继续阅读【安全圈】新型恶意软件能利用LogoFAIL漏洞感染Linux系统
【安全圈】新型恶意软件能利用LogoFAIL漏洞感染Linux系统 安全圈 2024-12-03 11:00 关键词 恶意软件 据BleepingComputer消息,韩国Best of the Best (BoB) 培训计划的网络安全学生利用 LogoFAIL 漏洞创建了新型恶意软件Bootkitty,能够攻击Linux系统设备。 固件安全公司Binarly 于2023 年 11 月发现了 Lo
继续阅读【安全圈】知名开源监控系统Zabbix存在SQL 注入漏洞
【安全圈】知名开源监控系统Zabbix存在SQL 注入漏洞 安全圈 2024-12-03 11:00 关键词 安全漏洞 Zabbix 存在 SQL 注入漏洞(CVE-2024-42327),该漏洞是由于在 Zabbix前端的CUser类中的addRelatedObjects函数未对输入数据进行充分验证和转义,导致具有API访问权限的恶意用户可以通过user.get API传递特制输入触发SQL注入
继续阅读年末冲刺!2024漏洞马拉松『美团站』正式启动
年末冲刺!2024漏洞马拉松『美团站』正式启动 美团安全应急响应中心 2024-12-03 10:30 活动范围 美团及旗下开放在互联网的应用系统 (美团控股公司漏洞视情况收取,暂停收录系统见平台公告) 提交地址 https://security.meituan.com 活动规则 漏洞标题必须标注【漏洞马拉松2024】前缀,否则无法享受活动奖励;本活动不与平台其他活动同享。 注意事项 1.当发现入
继续阅读docker历史上的第一个漏洞:关于shocker的一切
docker历史上的第一个漏洞:关于shocker的一切 原创 王磊 华为安全应急响应中心 2024-12-03 10:10 1 基本信息 Item Details Note Project docker — CVE-ID CVE-2014-3519(OpenVZ) 公开时docker已部分修复,未分配CVE Vuln's Author Sebastian Krahmer — CVSS 9
继续阅读Zabbix 修复开源企业网络监控工具中严重的SQLi漏洞
Zabbix 修复开源企业网络监控工具中严重的SQLi漏洞 Ionut Arghire 代码卫士 2024-12-03 10:03 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Zabbix 提醒称其开源企业网络监控解决方案中存在一个严重漏洞,可导致攻击者注入任意SQL查询并攻陷数据或系统。 该漏洞的编号是CVE-2024-42327(CVSS评分9.9),位于任何拥有API访问权限可访问
继续阅读泰晓社区推出口袋AI盘,普通PC即插即跑
泰晓社区推出口袋AI盘,普通PC即插即跑 原创 晓泰 泰晓科技 2024-12-03 06:57 简介 泰晓社区之前相继推出了: 1. Linux 内核实验盘 Linux 系统盘 儿童 Linux 系统盘 经过数月的开发,本次正式推出了口袋 AI 盘,不仅继承了 智能启动、透明倍容、出厂恢复等基本特性,而且首次支持了 AI 功能,插上并启动以后,立即就能通过主机的浏览器获得类似 ChatGPT 的
继续阅读Windows 任务计划程序漏洞 (CVE-2024-49039) 零日漏洞利用代码发布
Windows 任务计划程序漏洞 (CVE-2024-49039) 零日漏洞利用代码发布 独眼情报 2024-12-03 02:56 Windows 任务计划程序中的零日漏洞 CVE-2024-49039 的概念验证 (PoC) 漏洞代码已公开发布,引发了人们对攻击增加的担忧。此漏洞的 CVSS 评分为 8.8,允许攻击者提升权限并以更高的完整性级别执行代码。 漏洞详细信息: CVE-2024-4
继续阅读游戏漏洞挖掘思路分享
游戏漏洞挖掘思路分享 xhys 沃克学安全 2024-12-03 02:19 申明:文章仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。 本文由xhys师傅发表在先知社区 文章地址:https://xz.aliyun.com/t/16391 1.游戏漏洞介绍 随着当下各种SRC业务漏洞已经被挖掘殆尽,游戏漏洞挖掘是一个新赛
继续阅读智联云采 SRM2.0 quickReceiptDetail SQL注入漏洞
智联云采 SRM2.0 quickReceiptDetail SQL注入漏洞 Superhero nday POC 2024-12-03 02:15 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读【漏洞复现】某平台-Sc-Clue-count-search-sql注入漏洞
【漏洞复现】某平台-Sc-Clue-count-search-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-03 02:14 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息
继续阅读苹果官方警告:零日漏洞攻击瞄准Mac电脑用户
苹果官方警告:零日漏洞攻击瞄准Mac电脑用户 安全内参 关键信息基础设施安全保护联盟 2024-12-02 23:30 安全内参11月21日消息,苹果公司19日发布安全更新,修复了两个被用于攻击Mac用户的安全漏洞,并建议所有用户安装。 苹果在官网发布的安全公告中表示,发现了两个漏洞(CVE-2024-44308、CVE-2024-44309),可能在基于英特尔处理器的Mac系统上“被积极利用”。
继续阅读全球首份《大模型安全漏洞报告》
全球首份《大模型安全漏洞报告》 360数字安全 苏说安全 2024-12-02 23:02 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用背后,也带来诸多新的风险和挑战。 近日,360数字安全集团发布全球首份《大模型安全漏洞报告》(以下简称“报告”),从模型层安
继续阅读【漏洞情报】任我行管家婆订货易在线商城 UploadImgNoCheck未授权文件上传限制不当漏洞
【漏洞情报】任我行管家婆订货易在线商城 UploadImgNoCheck未授权文件上传限制不当漏洞 cexlife 飓风网络安全 2024-12-02 14:37 漏洞详情:管家婆订货易在线商城/api/Upload/UploadImgNoCheck接口处存在文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。 修复方案: 该产
继续阅读漏洞推送|EnjoyRMIS_cwsfiledown存在文件读取漏洞
漏洞推送|EnjoyRMIS_cwsfiledown存在文件读取漏洞 小白菜安全 小白菜安全 2024-12-02 13:03 漏洞描述 EnjoyRMIS cwsfiledown存在任意文件读取漏洞,攻击者可通过该漏洞获取敏感信息 资产信息 fofa:body=”CheckSilverlightInstalled” 漏洞复现 POC POST /EnjoyRMIS_WS/
继续阅读【漏洞复现】CVE-2024-11680
【漏洞复现】CVE-2024-11680 混子Hacker 混子Hacker 2024-12-02 12:36 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 人生漫长,晴雨交加,但若是心怀热爱,即使岁月荒芜,亦能奔山赴海,静待一树花开 【
继续阅读文末抽奖福利!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
文末抽奖福利!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! 听风安全 2024-12-02 12:28 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOn
继续阅读【福利抽奖】用网空测绘ZoomEye主动发现被黑的网站
【福利抽奖】用网空测绘ZoomEye主动发现被黑的网站 原创 pbuff07 增益安全 2024-12-02 10:34 ZoomEye用来干啥的不多说了,没听过没见过的直接点下方链接学习下~ 如何用ZoomEye助力小白挖到第一个漏洞 除了可以用来发现资产、找漏洞外,还可以主动监控全网哪些网站被黑了,对于甲方或者监管可以快速监控和响应,下面介绍几个办法(也是目前我所采用的方式)。 1、使用被黑的
继续阅读每周网安资讯 (11.26-12.2)|Containers等厂商的多款产品存在链接跟随漏洞
每周网安资讯 (11.26-12.2)|Containers等厂商的多款产品存在链接跟随漏洞 交大捷普 2024-12-02 10:14 2024[ 每周网安资讯 ]11.26-12.2 网安资讯 1、国家“2024网络安全创新发展大会”在京顺利召开 2024年11月27日,由《信息安全研究》杂志社主办,光明网网络安全频道&数字化频道、中移互联网有限公司、蚂蚁科技集团股份有限公司协办的“2
继续阅读微软修复已遭活跃利用的漏洞
微软修复已遭活跃利用的漏洞 THN 代码卫士 2024-12-02 10:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软修复了位于AI、云、企业资源规划和Partner Center 服务中的四个漏洞,其中一个已遭在野利用。 该已被“检测到遭利用”的漏洞是CVE-2024-49035(CVSS评分8.7),是位于partner.microsoft[.]com 中的一个提权漏洞。微
继续阅读Patchwork(白象)APT组织Protego远控木马攻击场景复现
Patchwork(白象)APT组织Protego远控木马攻击场景复现 原创 T0daySeeker T0daySeeker 2024-12-02 09:40 文章首发地址: https://xz.aliyun.com/t/16392 文章首发作者: T0daySeeker 概述 在上一篇《最新Patchwork(白象)Protego远控木马接收某远控指令后将导致远控木马无法响应后续远控指令》文章
继续阅读非管理员就可访问!Zabbix SQL注入漏洞安全风险通告
非管理员就可访问!Zabbix SQL注入漏洞安全风险通告 应急响应中心 亚信安全 2024-12-02 09:34 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,在Zabbix中披露了一个SQL注入漏洞(CVE-2024-42327)。Zabbix前端的CUser类中存在一个SQL注入漏洞,具体位于addRelatedObjects函数中。该函数由CUser.get函数调用,任何具有
继续阅读时空WMS-仓储精细化管理系统两处文件上传致RCE漏洞复现
时空WMS-仓储精细化管理系统两处文件上传致RCE漏洞复现 原创 红岸基地赵小龙 暗影网安实验室 2024-12-02 09:25 产品简介 时空WMS-仓储精细化,管理系统Q是一款高效、智能的仓储管理工具,旨在帮助企业实现仓库的精细化管理和高效运营。由郑州时空软件开发,专注于以数字化、智能化推动企业进步。该系统基于先进的仓储管理理念和技术架构,融合了物联网、移动互联等前沿技术,实现了对仓库内物资
继续阅读【工具分享】I-Wanna-Get-All 主流OA漏洞利用工具
【工具分享】I-Wanna-Get-All 主流OA漏洞利用工具 Mstir 星悦安全 2024-12-02 08:58 点击上方 蓝字 关注我们 并设为 星标 0x01 工具简介 集成漏洞系统包括:用友、泛微、蓝凌、万户、致远、通达、帆软、金蝶、金和、红帆、宏景、浪潮、普元、亿赛通、海康威视、飞企互联、大华DSS、jeecg-boot 集成memshell功能:用友NC、用友U8C、亿赛通、帆软
继续阅读海信智能公交企业管理系统 apply.aspx SQL注入漏洞
海信智能公交企业管理系统 apply.aspx SQL注入漏洞 Superhero nday POC 2024-12-02 08:42 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读