一款基于Go语言编写,针对赛蓝企业管理系统的漏洞检测工具
一款基于Go语言编写,针对赛蓝企业管理系统的漏洞检测工具 Seven1an 夜组安全 2024-10-07 20:00 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya
继续阅读标签: 文件上传
微信公众号小说漫画系统存在前台任意文件上传漏洞(RCE)
微信公众号小说漫画系统存在前台任意文件上传漏洞(RCE) 原创 Mstir 星悦安全 2024-10-07 11:43 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **源码描述:修复版掌上阅读小说源码_公众号漫画源码可以打包漫画app,掌上阅读小说源码支持公众号、代理分站支付功能完善强大的小说源码,可以对接微信公众号、APP打包。支持对接个人微信收款。 1新增签到、平台分享奖励书币、小说
继续阅读ThinkPHP 的老漏洞依旧是黑客手中的大杀器;|网警提示:举国欢庆享长假,个人信息要护好
ThinkPHP 的老漏洞依旧是黑客手中的大杀器;|网警提示:举国欢庆享长假,个人信息要护好 黑白之道 2024-10-05 10:36 ThinkPHP 的老漏洞依旧是黑客手中的大杀器; 研究人员发现安全领域出现了令人不安的趋势: 攻击者不仅对新披露的漏洞十分感兴趣,对已知的漏洞也丝毫不放过,尽管有些漏洞已经存在了好些年头,攻击者仍然能够通过老漏洞成功完成攻击。 典型的例子就是 ThinkPHP
继续阅读ThinkPHP 的老漏洞依旧是黑客手中的大杀器
ThinkPHP 的老漏洞依旧是黑客手中的大杀器 Avenger FreeBuf 2024-10-05 09:31 研究人员发现安全领域出现了令人不安的趋势: 攻击者不仅对新披露的漏洞十分感兴趣,对已知的漏洞也丝毫不放过,尽管有些漏洞已经存在了好些年头,攻击者仍然能够通过老漏洞成功完成攻击。 典型的例子就是 ThinkPHP 远程代码执行漏洞 CVE-2018-20062 和 CVE-2019-9
继续阅读一款集成了H3C,致远,泛微,万户,帆软,海康威视,金蝶云星空,畅捷通,Struts等多个RCE漏洞利用工具
一款集成了H3C,致远,泛微,万户,帆软,海康威视,金蝶云星空,畅捷通,Struts等多个RCE漏洞利用工具 黑白之道 2024-10-02 10:07 01 工具介绍 一款集成了H3C,致远,泛微,万户,帆软,海康威视,金蝶云星空,畅捷通,Struts等多个RCE的漏洞利用工具 程序采用C#开发,首次使用请安装依赖:NET6.0 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律
继续阅读「冷漠安全」九月份0day/1day/nday漏洞汇总
「冷漠安全」九月份0day/1day/nday漏洞汇总 冷漠安全 冷漠安全 2024-10-01 17:27 0x01 免责声明 免责声明 请 勿 利 用 文 章 内 的 相 关 技 术 从 事 非 法 测 试 , 由 于 传 播 、 利 用 此 文 所 提 供 的 信 息 而 造 成 的 任 何 直 接 或 者 间 接 的 后 果 及 损 失 , 均 由 使 用 者 本 人 负 责 , 作 者
继续阅读开源:快速代码审计辅助工具,助力0day挖掘
开源:快速代码审计辅助工具,助力0day挖掘 jack 剁椒鱼头没剁椒 2024-09-29 19:27 1. 开发 – CodeScan 2. 前言 这里是详细解释下CodeScan的用法,之前偏向于快速的代码审计,于是就写了一个这种快速匹配Sink点的工具,省的每次点点点搜搜索了,Python属实不优雅,就拿go写了一下,难度不大,练练手的项目,审计也不能一成不变的死磕,利用一些辅
继续阅读漏洞预警 | 唯徳知识产权管理系统任意文件读取和文件上传漏洞
漏洞预警 | 唯徳知识产权管理系统任意文件读取和文件上传漏洞 浅安 浅安安全 2024-09-28 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 唯徳是专业提供企业、代理机构知识产权管理软件供应商。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 唯徳知识产权管理系统的DownloadFileWo
继续阅读警惕风险突出的100个高危漏洞
警惕风险突出的100个高危漏洞 苏说安全 2024-09-28 07:01 高危漏洞是网络系统可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统、网络应用都可能存在这样的漏洞。这些漏洞一旦被恶意利用,将给网络系统带来极大的安全风险,可能影响网络系统的正常运行,甚至给网络运营者造成经济财产损失。因此,及时发现并修复高危漏洞是保障网络安全的重要措施。公安机关网安部门从危害程
继续阅读风险突出的100个高危漏洞
风险突出的100个高危漏洞 安全新说 2024-09-26 15:13 高危漏洞是网络系统可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统、网络应用都可能存在这样的漏洞。这些漏洞一旦被恶意利用,将给网络系统带来极大的安全风险,可能影响网络系统的正常运行,甚至给网络运营者造成经济财产损失。因此,及时发现并修复高危漏洞是保障网络安全的重要措施。 公安机关网安部门从危害程度
继续阅读「漏洞复现」某徳知识产权管理系统 UploadFileWordTemplate 文件上传漏洞
「漏洞复现」某徳知识产权管理系统 UploadFileWordTemplate 文件上传漏洞 冷漠安全 冷漠安全 2024-09-25 19:20 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若
继续阅读【实战攻防纪实】“NGSOC+N”联动出击,7分钟扼杀危急漏洞利用攻击
【实战攻防纪实】“NGSOC+N”联动出击,7分钟扼杀危急漏洞利用攻击 奇安信集团 2024-09-25 17:49 【引言】 2024国家级攻防演练已告一段落。在此次趋于常态化的超长演练时间内,传统的断网、关停端口等临时措施已不再适用于防守企业的防御策略,而是更注重构建常态化的安全防御机制。在这一过程中,单一的安全产品已不足以快速应对更加复杂的威胁。因此 , 打破安全设备孤岛,促进设备间的协同工
继续阅读雷神众测漏洞周报2024.09.18-2024.09.22
雷神众测漏洞周报2024.09.18-2024.09.22 原创 雷神众测 雷神众测 2024-09-23 17:17 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读某最新微信广告任务平台存在任意文件上传漏洞(RCE)
某最新微信广告任务平台存在任意文件上传漏洞(RCE) 原创 Mstir 星悦安全 2024-09-21 12:29 点击上方 蓝字关注我们 并设为 星标 0x00 前言 源码简介:本平台基于 Thinkphp3.2 框架精心打造,确保系统稳定、安全、高效运行。核心功能:第三方个人免签支付:无缝对接支付接口,支持微信、支付宝等多种支付方式,让交易更便捷。VIP 等级充值:提供不同等级的 VIP 会员
继续阅读警惕风险突出的100个高危漏洞(下)
警惕风险突出的100个高危漏洞(下) 安小圈 2024-09-21 08:45 安小圈 第507期 高危漏洞 风险(下) 高危漏洞是网络系统可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统、网络应用都可能存在这样的漏洞。这些漏洞一旦被恶意利用,将给网络系统带来极大的安全风险,可能影响网络系统的正常运行,甚至给网络运营者造成经济财产损失。因此,及时发现并修复高危漏洞是
继续阅读【安全科普】OSS存储桶漏洞总结
【安全科普】OSS存储桶漏洞总结 学网络安全到 开源聚合网络空间安全研究院 2024-09-19 16:53 网 安 教 育 培 养 网 络 安 全 人 才 技 术 交 流 、 学 习 咨 询 简介 OSS,对象存储服务,对象存储可以简单理解为用来存储图片、音频、视频等非结构化数据的数据池。相对于主机服务器,具有读写速度快,利于分享的特点。 OSS工作原理: 数据以对象(Object)的形式存储在
继续阅读漏洞推送|Array Networks APV应用交付系统命令执行漏洞
漏洞推送|Array Networks APV应用交付系统命令执行漏洞 原创 小白菜安全 小白菜安全 2024-09-17 22:03 漏洞描述 顺景ERP管理系统UploadInvtSpFile存在任意文件上传漏洞,攻击者可上传恶意文件控制服务器 。 资产信息 FOFA: app=”Array-APV” 漏洞复现 POC POST /restapi/../rest/pin
继续阅读漏洞?忽略!忽略!忽略!
漏洞?忽略!忽略!忽略! 威零安全团队 2024-09-15 15:06 现在只对常读和星标的公众号才展示大图推送,建议大家能把威零安全实验室“设为星标”,否则可能就看不到了啦! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 由于传播、利用本公众号所发布的而造成的任何直接或者间接的后
继续阅读漏洞挖掘 | 记一次针对blade站点的渗透测试
漏洞挖掘 | 记一次针对blade站点的渗透测试 原创 zkaq – Tobisec 掌控安全EDU 2024-09-15 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – Tobisec 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 浅谈 哈喽,师傅们好! 这篇文章呢,主要是我在微信公众号通
继续阅读微软2024年9月补丁日重点漏洞安全预警
微软2024年9月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-09-11 17:19 补丁概述 2024 年 9 月 10 日 ,微软官方发布了 9 月安全更新,针对 79 个 Microsoft CVE 进行修复。其中,包含 7 个严重漏洞(Critical)、 71 个重要漏洞(Important)和 1 个中危漏洞(Moderate) 。从漏
继续阅读上周关注度较高的产品安全漏洞(20240902-20240908)
上周关注度较高的产品安全漏洞(20240902-20240908) 国家互联网应急中心CNCERT 2024-09-10 14:48 一、境外厂商产品漏洞 1、ZOHO ManageEngine ADAudit Plus SQL注入漏洞(CNVD-2024-37481) ZOHO ManageEngine ADAudit Plus是美国卓豪(ZOHO)公司的用于简化审计、证明合规性和检测威胁。ZO
继续阅读未知技术大揭秘,让XSS漏洞无处遁形!0x2
未知技术大揭秘,让XSS漏洞无处遁形!0x2 迪哥讲事 2024-09-09 23:09 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 通过SVG文件上传的存储型XSS 安全小白团 书接上回《未知技术大揭秘,让XSS漏洞无处遁形!0x1 》 关键词:文件上传——手动测试。 在完成信息收集后,我查找了aquatone的结果
继续阅读雷神众测漏洞周报2024.09.02-2024.09.08
雷神众测漏洞周报2024.09.02-2024.09.08 原创 雷神众测 雷神众测 2024-09-09 15:33 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读献礼中秋! | .NET 文件上传漏洞对抗最新研究成果和新工具发布预告
献礼中秋! | .NET 文件上传漏洞对抗最新研究成果和新工具发布预告 专攻.NET安全的 dotNet安全矩阵 2024-09-08 09:10 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提
继续阅读实战 | 测试文件上传漏洞的5个小tips
实战 | 测试文件上传漏洞的5个小tips 渗透安全团队 2024-09-07 21:49 作为红队成员、渗透测试人员和 赏金猎人——我们都喜欢在我们的目标中看到文件上传功能。 但有时我们必须处理不寻常的应用程序,这些应用程序可能会受到“简单”Webshell 上传的良好保护(即存在过滤),因此我们需要采用更具创意的方法。 大多数人都已经熟悉以“传统方式”(文件扩展名、内容类型等)测试上传功能 ,
继续阅读继上一次权限绕过漏洞代码审计
继上一次权限绕过漏洞代码审计 实战安全研究 2024-09-07 09:00 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 上一次在审计过程当中审计出来了相关的一个权限绕过漏洞,当我把这个漏洞拿出来给学员讲解的时候,学员审计出来一个新的漏洞,并且已经进行提交获取了对应赏金,
继续阅读黑客活动家利用 WinRAR 漏洞对俄罗斯和白俄罗斯发动攻击
黑客活动家利用 WinRAR 漏洞对俄罗斯和白俄罗斯发动攻击 网安百色 2024-09-06 19:30 一个名为 Head Mare 的黑客组织与专门针对位于俄罗斯和白俄罗斯的组织的网络攻击有关。 “Head Mare 使用更多最新的方法来获得初始访问权限,”卡巴斯基在周一对该组织的策略和工具的分析中说。 “例如,攻击者利用了 WinRAR 中相对较新的 CVE-2023-38831 漏洞,该漏
继续阅读总结RCE漏洞(常见RCE的组合案例)
总结RCE漏洞(常见RCE的组合案例) 原创 LULU 红队蓝军 2024-09-06 18:02 RCE原理 RCE(remote command/code execute) 即远程命令/代码执行。可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。RCE分为远程命令执行ping和远程代码执行evel。 在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代
继续阅读Veeam 修复5个严重漏洞
Veeam 修复5个严重漏洞 THN 代码卫士 2024-09-06 17:02 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Veeam 发布安全更新,修复了影响软件产品的18个缺陷,其中5个严重漏洞可导致远程代码执行后果。 这5个漏洞如下: CVE-2024-40711 (CVSS: 9.8) ——该漏洞位于Veeam Backup & Replication中,可导致未认证远
继续阅读nuclei+burp 快速构建护网漏洞武器库!!
nuclei+burp 快速构建护网漏洞武器库!! 原创 fkalis fkalis 2024-09-05 20:24 背景 之前发了一篇关于nuclei+ai浏览器插件的文章,交流群内有师傅想知道的一般用的什么nuclei的burp的插件,于是就写一篇文章给大家介绍一下我的插件的用法~~ 项目地址 插件1:https://github.com/projectdiscovery/nuclei-bu
继续阅读