禅道最新身份认证绕过漏洞利用工具
禅道最新身份认证绕过漏洞利用工具 charonlight 夜组安全 2024-05-01 11:00 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!! 朋友们现在只对常读和星标的公众号才展示大图推送,建
继续阅读标签: 复现
如何利用关键 Ray 框架漏洞来入侵全球 AI 机器?
如何利用关键 Ray 框架漏洞来入侵全球 AI 机器? cybernews OSINT研习社 2024-05-01 09:00 自 2023 年 9 月 5 日以来,一种名为“ShadowRay”活动的复杂网络威胁针对 Ray 框架中的漏洞。 该活动凸显了 Ray 框架中的一个严重漏洞,该框架由 Anyscale 开发,并被 Amazon 和OpenAI 等巨头使用 ,用于协调教育、加密货币和生物
继续阅读研究人员发布了 Windows 内核 EoP 漏洞的 PoC 漏洞 (CVE-2024-26218)
研究人员发布了 Windows 内核 EoP 漏洞的 PoC 漏洞 (CVE-2024-26218) Ots安全 2024-04-30 20:23 网络安全研究员 Gabe Kirkpatrick 分享了影响Windows 内核的高严重性特权提升漏洞( CVE-2024-26218 ) 错误的技术细节和概念验证 (PoC) 漏洞代码。 微软于 4 月 9 日(本月的补丁星期二)发布了安全更新,以在
继续阅读【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】
【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】 原创 xiaocaiji 网安鲲为帝 2024-04-30 19:43 0x00免责声明 ! 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。 0x01 漏洞描述 ! 随着工业互联网的迅速发展,传统的组态软件CS架构需要安装客户
继续阅读用友NC grouptemplet 任意文件上传漏洞
用友NC grouptemplet 任意文件上传漏洞 原创 fgz AI与网安 2024-04-29 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 次条通常是广告,内容我也没验证,感兴趣的自行验证,不感兴趣的忽略。 01 — 漏洞名称 用友NC grou
继续阅读一个25,000的RCE
一个25,000的RCE 迪哥讲事 2024-04-28 20:50 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 目录 简介背景介绍选择目标准备与设置开始‘狩猎’RCE 利用继续尝试发生了什
继续阅读GPT- 4 会自己发起漏洞攻击,成功率高达87%
GPT- 4 会自己发起漏洞攻击,成功率高达87% 天融信教育 2024-04-28 17:32 近日,伊利诺伊大学香槟分校的研究团队揭示了一项关于人工智能模型进行黑客攻击的新研究:只需 要阅读CVE漏洞描述,GPT- 4就可以瞬间化身黑客,成功实施漏洞攻击,综合成功率达到了惊人的87%。 在此次研究中,该团队共对包括GPT- 4、GPT- 3.5在内的10个AI大模型进行实验,结果发现只有GPT
继续阅读在看 | 周报:国产输入法曝重大漏洞;支付1.5亿赎金仍被泄露数据
在看 | 周报:国产输入法曝重大漏洞;支付1.5亿赎金仍被泄露数据 原创 管窥蠡测 安在 2024-04-27 17:52 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、交通银行App崩了一度冲上热搜! 2、全国首例AI声音侵权案一审宣判 声音被AI化出售获赔25万元 4月23日上午,北京互联网法院对全国首例“AI声音
继续阅读CVE-2022-42920 BCEL 任意文件写漏洞
CVE-2022-42920 BCEL 任意文件写漏洞 系统安全运维 2024-04-27 14:54 前言 Apache Commons BCEL旨在为用户提供一种方便的方法来分析、创建和操作(二进制)Java 类文件(以 .class 结尾的文件)。类由包含给定类的所有符号信息的对象表示:特别是方法、字段和字节码指令。 这些对象可以从现有文件中读取,由程序(例如运行时的类加载器)转换并再次写入
继续阅读常见未授权访问漏洞总结及验证方式
常见未授权访问漏洞总结及验证方式 橘猫学安全 2024-04-27 14:14 前言 未授权访问漏洞是常见的攻击入口点,某些严重的未授权访问会直接导致getshell,熟悉常见的未授权访问漏洞排查方法对红蓝双方都有很大的帮助。本文对常见的未授权访问利用所需的工具和命令做总结。 mysql 3306端口未授权访问,可读取数据库内容,可尝试在web路径写webshell 工具:Navicat sqls
继续阅读高JDK的JNDI绕过之复现某比赛0解题
高JDK的JNDI绕过之复现某比赛0解题 Zjacky 白帽子左一 2024-04-27 12:04 扫码领资料 获网安教程 前言 本篇文章首发在先知社区 作者Zjacky(本人) 先知社区名称: Zjacky 转载原文链接为https://xz.aliyun.com/t/13793 诶呀这玩意学了蛮久了真的,离大谱,各种事故各种坑点,不过结果还算好都弄清楚了,记录下顺便分享两个CTF案例来进行加
继续阅读实战|记一次女朋友学校漏洞挖掘
实战|记一次女朋友学校漏洞挖掘 瓜皮辰. WIN哥学安全 2024-04-27 11:20 免责声明: 请使用者遵守《中华人民共和国网络安全法》,由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任。 0x00前言 嘿嘿,周四女朋友约我出去嗨,着实激动。趁着“带薪拉屎”期间去瞅了瞅女朋友的学校网站(女朋友还小,在上高中),其实很
继续阅读漏洞扫描系统 — 临兵
漏洞扫描系统 — 临兵 LemonSec 2024-04-27 10:27 0x01 工具介绍 本系统是对Web中间件和Web框架进行自动化渗透的一个系统,根据扫描选项去自动化收集资产,然后进行POC扫描,POC扫描时会根据指纹选择POC插件去扫描,POC插件扫描用异步方式扫描.前端采用vue技术,后端采用python fastapi。 0x02 安装与使用 1、Do c ker部 署
继续阅读渗透测试 | 一次实战远程命令执行漏洞并提权
渗透测试 | 一次实战远程命令执行漏洞并提权 巡安似海 LemonSec 2024-04-27 10:27 前言 某站用友的命令执行漏洞,测试 print hello 发现可以执行命令 whami 和 id 都查一波权限,发现是 root , 权限这么大,很好搞啊 ps -ef|grep sshd 查一波 发现可以ssh连接,直接u seradd 用户,但是整个shell无法给用户添加密码,无法
继续阅读MM-Wiki 文档管理器未授权访问漏洞(附POC)
MM-Wiki 文档管理器未授权访问漏洞(附POC) 原创 BeiZhe SheYin 2024-04-27 09:00 免责声明: 本公众号的技术文章来仅供参考,如需转载,请联系公众号。 未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作, 如因此产生的一切不良后果与文章作者和本公众号无关。 本文所提供的工具仅用于学习。 关注公众号回复 edusrc 获 取邀请码 0x01 前言 MM
继续阅读漏洞通告 | 禅道项目管理系统权限提升漏洞
漏洞通告 | 禅道项目管理系统权限提升漏洞 原创 微步情报局 微步在线研究响应中心 2024-04-26 19:03 漏洞概况 禅道项目管理系统是一个开源的项目管理软件,专门设计用于敏捷开发,提供了需求管理、任务管理、缺陷跟踪、测试管理和项目绩效等功能,帮助团队更高效地进行项目规划和执行。 微步漏洞团队近日获取到禅道项目管理系统权限提升漏洞情报(https://x.threatbook.com/v
继续阅读网络性能监控工具Progress Flowmon曝满分漏洞,已公开PoC
网络性能监控工具Progress Flowmon曝满分漏洞,已公开PoC 看雪学苑 看雪学苑 2024-04-26 17:59 网络监控和安全解决方案提供商Progress Flowmon最新被发现其产品存在高严重性漏洞,可能允许攻击者提升权限并无需身份验证即可访问Flowmon Web界面,从而执行任意系统命令。 据了解,Progress Flowmon是一款较为流行的网络性能监控工具,结合了性
继续阅读19个月之后,博通终于修复了这些 SANnav漏洞
19个月之后,博通终于修复了这些 SANnav漏洞 Steve Zurier 代码卫士 2024-04-26 17:25 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员 Pierre Barre 指出,经过19个月与博通就 SANnav 管理应用中的多个漏洞进行沟通后,博通终于在今年4月份修复了这些漏洞,距离首次证实漏洞已过去了11个月。 Barre 在一篇博客文章中指出,在所发
继续阅读【漏洞复现】禅道项目管理系统身份认证绕过漏洞
【漏洞复现】禅道项目管理系统身份认证绕过漏洞 cexlife 飓风网络安全 2024-04-26 17:10 漏洞概述: 禅道项目管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后就可以实现完全接管服务器。 漏洞复现: 影响产品:1、16.x <= 禅道项目管理系统< 18.1
继续阅读【已复现】禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263)安全风险通告
【已复现】禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263)安全风险通告 奇安信 CERT 2024-04-26 16:12 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 禅道项目管理系统身份认证绕过漏洞 漏洞编号 QVD-2024-15263 公开时间 2024-04-12 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 8.2 威胁类型 身份认证绕过
继续阅读RSAC 2024创新沙盒|VulnCheck:漏洞优先级挑战的解决方案
RSAC 2024创新沙盒|VulnCheck:漏洞优先级挑战的解决方案 绿盟君 绿盟科技 2024-04-26 15:36 5月6日 RSA Conference 2024 将正式启幕 作为“安全圈的奥斯卡” RSAC 创新沙盒(Innovation Sandbox) 已成为网络安全业界的创新标杆 创新之下 与绿盟君一道 聚焦网络安全新热点 洞悉安全发展新趋势 走进 ****VulnCheck
继续阅读0426-蠕虫爆发,PlugX新变种感染250万主机-思科针对“ArcaneDoor”0day 攻击 ASA 防火墙平台发出警报
0426-蠕虫爆发,PlugX新变种感染250万主机-思科针对“ArcaneDoor”0day 攻击 ASA 防火墙平台发出警报 网络盾牌 网络盾牌 2024-04-26 14:36 点击上方蓝色文字关注我们 今日全球网安资讯摘要**** 特别关注 蠕虫爆发,PlugX新变种感染250万主机 思科针对“ArcaneDoor”0day 攻击 ASA 防火墙平台发出警报 因发起网络攻击,美国悬赏 10
继续阅读【已复现】禅道项目管理系统身份认证绕过漏洞
【已复现】禅道项目管理系统身份认证绕过漏洞 长亭应急 黑伞安全 2024-04-26 13:33 禅道项目管理系统(以下简称禅道系统)是一个开源的项目管理软件,专门设计用于敏捷开发,提供了需求管理、任务管理、缺陷跟踪、测试管理和项目绩效等功能,帮助团队更高效地进行项目规划和执行。2024年4月,互联网披露禅道系统存在身份认证绕过的漏洞情报。经分析,确认该漏洞利用简单,并可能在绕过权限后利用后台其他
继续阅读CVE-2024-2389 命令执行漏洞(附EXP)
CVE-2024-2389 命令执行漏洞(附EXP) EchoSec 2024-04-26 13:30 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Progress Flowmon是Progress公司的一个实时网络流量监控工具。Progress Flowmon 11.1.14之前的11.x版本和12.
继续阅读八大主流中文手机输入法曝出泄密漏洞,仅华为幸免
八大主流中文手机输入法曝出泄密漏洞,仅华为幸免 汇能云安全 2024-04-26 11:32 4月26日,星期五,您好!中科汇能与您分享信息安全快讯: 01 思科针对“ArcaneDoor”0day 攻击 ASA 防火墙平台发出警报 科技巨头思科周三警告称,国家支持的专业黑客团队正在利用其 ASA 防火墙平台中的至少两个 0day 漏洞,在电信和能源部门网络上植入恶意软件。 根据思科 Talo
继续阅读CVE-2024-4040 CrushFTP 中的身份验证绕过和任意文件读取
CVE-2024-4040 CrushFTP 中的身份验证绕过和任意文件读取 Ots安全 2024-04-26 10:47 概述 2024 年 4 月 19 日星期五,托管文件传输供应商 CrushFTP 向私人邮件列表发布了有关一个新的零日漏洞的信息,该漏洞影响所有平台上低于 10.7.1 和 11.1.0 的 CrushFTP 版本(以及旧版 9.x 版本)。在披露时,供应商未分配 CVE,但
继续阅读漏洞预警 hi-bridge 网关 download文件读取漏洞
漏洞预警 hi-bridge 网关 download文件读取漏洞 by 融云安全-sm 融云攻防实验室 2024-04-26 10:17 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使
继续阅读漏洞速递 | Microsoft微软最新RCE漏洞(附EXP)
漏洞速递 | Microsoft微软最新RCE漏洞(附EXP) 原创 AW 阿无安全 2024-04-26 06:02 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大家把
继续阅读