【漏洞复现】ActiveMQ-Jolokia-远程代码执行漏洞
【漏洞复现】ActiveMQ-Jolokia-远程代码执行漏洞 原创 莫大130 安全逐梦人 2023-12-01 00:07 Apache-ActiveMQ-Jolokia-远程代码执行漏洞-CVE-2022-41678 影响范围 Apache ActiveMQ before 5.16.6 Apache ActiveMQ 5.17.0 before 5.17.4 Apache ActiveMQ
继续阅读标签: 复现
掌握nacos全漏洞(攻防常见洞)带指纹表和利用工具 | 干货
掌握nacos全漏洞(攻防常见洞)带指纹表和利用工具 | 干货 渗透安全团队 2023-11-30 23:28 文章目录 框架介绍 何为nacos 漏洞列表 nacos漏洞全版本和指纹表 漏洞环境搭建 手动搭建 漏洞复现 1.如何识别当前站点是否存在漏洞 2.哪些版本(情况)存在该漏洞 3.漏洞指纹特征⭐ 4.如何复现 工具 综合利用工具 Part 1 01 何为 n a co s Nacos 是
继续阅读【漏洞通告】Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678)
【漏洞通告】Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-11-30 21:23 漏洞名称: Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678) 组件名称: Apache ActiveMQ 影响范围: Apache ActiveMQ < 5.16.6
继续阅读自动化 “信息收集+漏洞扫描” 系统开发
自动化 “信息收集+漏洞扫描” 系统开发 哈拉少安全小队 2023-11-30 19:28 在开始之前,先问师傅们两个问题 1:假设现在有一个项目,给了4个子域名,你会怎么进行漏洞挖掘呢? 2:什么是信息收集,为什么要进行信息收集 第一个问题 – 漏洞挖掘,我之前的做法 1:创建一个文件夹,名为wadong,并进入此文件夹中。 2:创建domain.txt,将4个子域名放入其中,通过子
继续阅读S2-007远程代码执行漏洞
S2-007远程代码执行漏洞 巢安实验室 巢安实验室 2023-11-30 17:30 漏洞简介 age来自于用户输入,传递一个非整数给id导致错误,struts会将用户的输入当作ongl表达式执行,从而导致了漏洞。 要成功利用,只需要找到一个配置了类似验证规则的表单字段使之转换出错,借助类似 SQLi 注入单引号拼接的方式即可注入任意 OGNL 表达式 影响版本 Struts2 2.0.0 &#
继续阅读【漏洞通告】Apache ActiveMQ Jolokia远程代码执行漏洞(CVE-2022-41678)
【漏洞通告】Apache ActiveMQ Jolokia远程代码执行漏洞(CVE-2022-41678) 原创 NS-CERT 绿盟科技CERT 2023-11-30 15:28 通告编号:NS-2023-0046 2023-11-30 TAG: Apache ActiveMQ、Jolokia、CVE-2022-41678、远程代码执行 漏洞危害: 攻击者利用此漏洞,可实现远程代码执行 版本:
继续阅读【卫星安全系列一】HAS-beckley赛题复现
【卫星安全系列一】HAS-beckley赛题复现 原创 明月清风我 山石网科安全技术研究院 2023-11-30 10:41 题目介绍 题目名:beckley Fire up your Google Earth and brush up on your KML tutorials, we’re going to make it look at things! 大概意思是利用Google Earth
继续阅读漏洞通告 | Apache ActiveMQ 远程代码执行漏洞
漏洞通告 | Apache ActiveMQ 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-11-30 09:44 01 漏洞概况**** Apache ActiveMQ 是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它实现了 Java Message Service (JMS) 规范。作为一个消息中间件,它充当了应用程序之间的通信桥梁,允许不同的应用程序在分布式
继续阅读二进制漏洞分析-13.华为TrustZone TEE_SERVICE_FACE_REC漏洞(一)
二进制漏洞分析-13.华为TrustZone TEE_SERVICE_FACE_REC漏洞(一) 原创 haidragon 安全狗的自我修养 2023-11-29 07:57 二进制漏洞分析-1.华为Security Hypervisor漏洞 二进制漏洞分析-2.揭示华为安全管理程序(上) 二进制漏洞分析-3.揭示华为安全管理程序(下) 二进制漏洞分析-4.华为安全监控漏洞(SMC SE 工厂检查
继续阅读【漏洞复现】易宝OA ExecuteSqlForSingle SQL注入漏洞
【漏洞复现】易宝OA ExecuteSqlForSingle SQL注入漏洞 WK安全 WK安全 2023-11-29 00:01 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! | 0x01 产品介绍 易宝OA是中国软件服务及行业解决
继续阅读LockBit 勒索软件利用严重的 Citrix Bleed 漏洞进行入侵
LockBit 勒索软件利用严重的 Citrix Bleed 漏洞进行入侵 原创 铸盾安全 河南等级保护测评 2023-11-29 00:00 包括 LockBit 勒索软件附属公司在内的多个威胁参与者正在积极利用 Citrix NetScaler 应用程序交付控制 (ADC) 和网关设备中最近披露的一个关键安全漏洞,以获得对目标环境的初始访问权限。 该联合咨询来自美国网络安全和基础设施安全局 (
继续阅读浅谈Apache Shiro FORM URL Redirect漏洞(CVE-2023-46750)
浅谈Apache Shiro FORM URL Redirect漏洞(CVE-2023-46750) 渗透安全团队 2023-11-28 23:17 0x00 前言 URL Redirect漏洞是一种常见的安全漏洞。一般是因为服务端未对传入的跳转url变量进行检查和控制,导致可恶意构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,攻击者利用这一点可以进行各种攻击,例如钓鱼
继续阅读万户协同办公平台ezoffice SendFileCheckTemplateEdit.jsp接口存在SQL注入漏洞 附POC
万户协同办公平台ezoffice SendFileCheckTemplateEdit.jsp接口存在SQL注入漏洞 附POC 原创 南风徐来 南风漏洞复现文库 2023-11-28 23:16 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
继续阅读通达OA inc/package/down.php接口存在未授权访问漏洞 附POC
通达OA inc/package/down.php接口存在未授权访问漏洞 附POC 原创 南风徐来 南风漏洞复现文库 2023-11-28 23:16 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 通达OA接口简介 微信公众号搜索:南
继续阅读本周更新第四章:基于反馈的内核fuzz原理讲解 | 系统0day安全-Windows平台漏洞挖掘
本周更新第四章:基于反馈的内核fuzz原理讲解 | 系统0day安全-Windows平台漏洞挖掘 看雪课程 看雪学苑 2023-11-28 17:59 本周更新: 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实
继续阅读漏洞通告 | 泛微 e-office10 远程代码执行漏洞
漏洞通告 | 泛微 e-office10 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-11-28 17:21 01 漏洞概况**** 泛微e-office系统是面向中小型组织的专业协同OA软件,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。微步漏洞团队通过“X漏洞奖励计划”获取到泛微e-office10远程代码执行漏洞。由于泛微e-office1
继续阅读上周关注度较高的产品安全漏洞(20231120-20231126)
上周关注度较高的产品安全漏洞(20231120-20231126) 国家互联网应急中心CNCERT 2023-11-28 17:02 一、境外厂商产品漏洞 1、Adobe Audition越界读取漏洞(CNVD-2023-88380) Adobe Audition是美国奥多比(Adobe)公司的一套多音轨编辑工具。该产品主要使用包含多音轨、波形和光谱显示的完善工具集对音频内容进行混音、编辑和创建等
继续阅读安全情报,X友 U8cloud task.TaskTreeQuery SQL注入漏洞!!
安全情报,X友 U8cloud task.TaskTreeQuery SQL注入漏洞!! 原创 Ax 极星信安 2023-11-28 16:32 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,禁止私自转载,如需转载,请联系作者!!!! 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关!!!!! 漏洞介绍 x友
继续阅读安全情报,X友NC存在任意文件上传漏洞!!
安全情报,X友NC存在任意文件上传漏洞!! 原创 Ax 极星信安 2023-11-28 16:32 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,禁止私自转载,如需转载,请联系作者!!!! 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关!!!!! 漏洞介绍 X友NC Cloud大型企业数字化平台,深度应用新一
继续阅读二进制漏洞分析-12.华为TrustZone TEE_SERVICE_MULTIDRM漏洞(下)
二进制漏洞分析-12.华为TrustZone TEE_SERVICE_MULTIDRM漏洞(下) 原创 haidragon 安全狗的自我修养 2023-11-28 07:08 二进制漏洞分析-1.华为Security Hypervisor漏洞 二进制漏洞分析-2.揭示华为安全管理程序(上) 二进制漏洞分析-3.揭示华为安全管理程序(下) 二进制漏洞分析-4.华为安全监控漏洞(SMC SE 工厂检查
继续阅读华为Auth-HTTP服务器任意文件读取漏洞
华为Auth-HTTP服务器任意文件读取漏洞 安全透视镜 网络安全透视镜 2023-11-28 07:01 一、漏洞描述 华为Auth-Http Server 1.0存在任意文件读取,攻击者可通过该漏洞读取任意文件。 二、网络空间搜索引擎搜索 fofa查询 server="Huawei Auth-Http Server 1.0" 三、漏洞复现 读取passwd文件 POC GE
继续阅读第81篇:JSONP劫持漏洞获取敏感信息原理、复现与坑点总结
第81篇:JSONP劫持漏洞获取敏感信息原理、复现与坑点总结 迪哥讲事 2023-11-27 23:00 Part1 前言 大家好,我是ABC_123 。今天我们研究一下JSONP劫持漏洞,早些年这个漏洞主要被攻击者用来窃取个人信息,如姓名、身份证号、家庭住址等,现在更多的用于蜜罐之中,间接溯源红队攻击者的个人身份 。好多朋友至今对这个漏洞理解不深刻,能发现能利用,但是就是不明白原理,有时候别人能
继续阅读漏洞分析 | 经典的Shiro反序列化
漏洞分析 | 经典的Shiro反序列化 渗透安全团队 2023-11-27 22:53 0x01、前言 相信大家总是面试会问到java反序列化,或者会问到标志性的漏洞,比如shiro反序列化,或者weblogic反序列化漏洞。 那我就这篇文章为大家讲解一下,不懂的哥哥直接背一下,理解一下就好了。 至于为什么要选择shiro反序列化呢,不讲weblogic呢? 因为我上次有幸参与金鸡电影节的临时安全
继续阅读【漏洞预警】ownCloud graphapi信息泄露漏洞(CVE-2023-49103)
【漏洞预警】ownCloud graphapi信息泄露漏洞(CVE-2023-49103) cexlife 飓风网络安全 2023-11-27 22:26 漏洞概述: ownCloud 是一种广泛使用的用于文件共享和内容协作的开源软件,它支持在线文档编辑以及日历和联系人同步等扩展,用户可以通过网络浏览器或各种客户端应用程序访问数据和文档。监测到ownCloudgraphapi中修复了一个敏感信息泄
继续阅读易宝OA系统ExecuteSqlForSingle接口存在SQL注入漏洞 附POC
易宝OA系统ExecuteSqlForSingle接口存在SQL注入漏洞 附POC 原创 南风徐来 南风漏洞复现文库 2023-11-27 22:16 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 易宝OA系统简介 微信公众号搜索:南
继续阅读开源软件又出大事件,ownCloud 曝出三个严重漏洞
开源软件又出大事件,ownCloud 曝出三个严重漏洞 小薯条 FreeBuf 2023-11-27 19:03 开源文件共享软件 ownCloud 近日警告称存在三个严重安全漏洞,其中一个漏洞可能会暴漏管理员密码和邮件服务器凭证。 ownCloud 是一款开源文件同步和共享解决方案,个人和组织均可通过这个自托管平台管理和共享文件。 其用户包括企业、教育机构、政府机构和注重隐私的个人,他们希望数据
继续阅读【已复现】Windows Cloud Files Mini Filter Driver权限提升漏洞安全风险通告
【已复现】Windows Cloud Files Mini Filter Driver权限提升漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-11-27 18:46 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows Cloud Files Mini Filter Driver权限提升漏洞 漏洞编号 QVD-2023-35031,CVE-202
继续阅读警惕!ownCloud 文件共享程序中曝出三个严重漏洞
警惕!ownCloud 文件共享程序中曝出三个严重漏洞 信息安全大事件 2023-11-27 18:23 开源文件共享软件 ownCloud 近日警告称存在三个严重安全漏洞,其中一个漏洞可能会暴漏管理员密码和邮件服务器凭证。 ownCloud 是一款开源文件同步和共享解决方案,个人和组织均可通过这个自托管平台管理和共享文件。 其用户包括企业、教育机构、政府机构和注重隐私的个人,他们希望数据自主可控
继续阅读ownCloud披露三个严重安全漏洞,可能暴露管理员密码和邮件服务器凭据
ownCloud披露三个严重安全漏洞,可能暴露管理员密码和邮件服务器凭据 看雪学苑 看雪学苑 2023-11-27 17:59 近日,知名开源文件共享软件ownCloud披露了三个严重安全漏洞,这些漏洞可能会暴露管理员密码和邮件服务器凭据。 据了解,ownCloud建立于2010年,最初是一个托管和同步文件的开源项目,用于在不同设备或地点轻松便捷地共享和处理文件。其免费好用的特性,使其很快发展为最
继续阅读英韩:Lazarus 黑客组织利用安全认证软件 0day 漏洞发动供应链攻击
英韩:Lazarus 黑客组织利用安全认证软件 0day 漏洞发动供应链攻击 THN 代码卫士 2023-11-27 17:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂
继续阅读