今日更新:命令/代码执行(一)原理和基础知识—CTF训练营之Web篇
今日更新:命令/代码执行(一)原理和基础知识—CTF训练营之Web篇 看雪课程 看雪学苑 2024-02-18 17:59 今日更新 欢迎来到 《CTF训练营-Web篇》 ! 随着互联网的普及与发展,网络安全也越发成为人们关注的焦点。 而在网络安全中,Web安全无疑是其中的一个重点领域。 该课程以CTF比赛中的Web安全为核心,包含了丰富的Web安全攻击和防御知识,帮助学员了解常见的网络攻击方式并
继续阅读今日更新:命令/代码执行(一)原理和基础知识—CTF训练营之Web篇 看雪课程 看雪学苑 2024-02-18 17:59 今日更新 欢迎来到 《CTF训练营-Web篇》 ! 随着互联网的普及与发展,网络安全也越发成为人们关注的焦点。 而在网络安全中,Web安全无疑是其中的一个重点领域。 该课程以CTF比赛中的Web安全为核心,包含了丰富的Web安全攻击和防御知识,帮助学员了解常见的网络攻击方式并
继续阅读记一次有趣的逻辑漏洞挖洞经历 1140099479299555 亿人安全 2024-02-18 15:32 原文链接: https://xz.aliyun.com/t/13615 前言 前几天在网上冲浪的时候无意间看到了一个Edu的站点,是一个很常见的类似MOOC的那种在线学习系统,对外开放,同时有注册和登录功能。对于我这种常年低危的菜鸡来说,这是最愿意看到的,因为一个Web网站有了登录功能,就代
继续阅读Panalog大数据日志审计系统libres_syn_delete.php存在命令执行漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-17 23:46 @[toc] Panalog大数据日志审计系统libres_syn_delete.php存在命令执行漏洞 附POC软件 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的
继续阅读smart管理平台多版本任意文件上传-CVE-2024-0939 小白菜安全 小白菜安全 2024-02-17 19:33 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响
继续阅读【漏洞速递】宝塔最新未授权访问漏洞及sql注入 Palvef WIN哥学安全 2024-02-17 16:08 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 宝塔最新未授权访问漏洞及sql注入 未授权访问 整个宝塔 WAF 核心防护功能的
继续阅读【漏洞预警】Solr ConfigSet远程代码执行漏洞CVE-2023-50386 cexlife 飓风网络安全 2024-02-16 22:29 漏洞描述:Apache Solr是一个开源的搜索服务,使用Java语言开发,主要基于HTTP和ApacheLucene实现的,在受影响的版本中,SolrCloud模式下 ConfigSets API接受Java jar和class文件上传。在备份So
继续阅读金盘移动图书馆系统存在任意文件上传漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-16 21:56 @[toc] 金盘移动图书馆系统存在任意文件上传漏洞 附POC软件 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 金盘
继续阅读漏洞挖掘 | 编辑器漏洞之kindeditor 原创 zkaq-master666 掌控安全EDU 2024-02-13 12:00 扫码领资料 获网安教程 本文由掌控安全学院 – master666 投稿 今天呢给大家复现一个kindeditor<=4.1.5上传漏洞。小弟能力有限,还在坚持学习的路上,还请大佬多多指教。自我感觉编辑器漏洞很容易忽视。此文章作为记录本人学习的开始
继续阅读渗透测试突破口之常见打点及漏洞利用 jimmy520 黑客白帽子 2024-02-13 07:03 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ web服务突破 一些存在问题的逻辑 任意用户注册 可爆破用户名 爆破用户名,密码 用户名注入 万能密码 用户名Xss 修改返回包信息,登入他人账户 修改cookie中的
继续阅读【漏洞复现】用友NC-Cloud系统uploadChunk存在任意文件上传漏洞 猴子 花果山讲安全 2024-02-12 11:21 0x01 阅读须知 花果山的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本
继续阅读CVE-2024-1253 原创 fgz AI与网安 2024-02-09 06:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 北京百绰智能S40管理平台导入web.php无限制上传 漏洞 02 — 漏洞影响 北京百绰智能S40管理平台20
继续阅读上周关注度较高的产品安全漏洞(20240129-20240204) 国家互联网应急中心CNCERT 2024-02-06 09:55 一、境外厂商产品漏洞 1、Google Chrome数字错误漏洞(CNVD-2024-06231) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 120.0.6099.216之前版本存在数字错误漏洞,该漏洞源
继续阅读某国产中间件文件上传漏洞分析 黑白之道 2024-02-03 18:24 0x01 漏洞分析 该系统是基于spring mvc,根据通报搜索路由为deployApp,找的相关controller 最终找的路由为/xxxx/application/deployApp,且对应controller为ApplicationMgmtController,接口方法如下 该方法主要分为三步 1、首先是根据请求中
继续阅读JAVA代码审计-任意文件上传漏洞(配套视频) 原创 白给 白给信安 2024-02-03 12:44 JAVA代码审计-任意文件上传漏洞 欢迎参加我们的Java代码审计课程!本课程旨在培养学员深入了解和实践Java应用程序安全性的技能,通过系统学习和实际案例分析,使学员能够识别并纠正潜在的安全漏洞。 前期回顾 之前我们已经公开了以下课程: 1. JAVA代码审计-JAVA 开发环境搭建 JAVA
继续阅读详细剖析某erp漏洞 Dili 白帽子左一 2024-02-03 12:01 扫码领资料 获网安教程 深入学习Java代码审计技巧—详细剖析某erp漏洞 简介 对于Java代码审计,主要的审计步骤如下: – 确定项目技术框架、项目结构 环境搭建 配置文件的分析:如pom.xml、web.xml等,特别是pom.xml,可以从组件中寻找漏洞 Filter分析:Filter是重要的组成部分
继续阅读CVE-2024-0713 原创 fgz AI与网安 2024-01-25 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 福利:小编整理了大量电子书和护网常用工具,在文末免费获取。 01 — 漏洞名称 Monitorr 服务配置 upload.php 无
继续阅读【漏洞预警】亿赛通电子文档安全管理系统 文件上传&命令执行漏洞 cexlife 飓风网络安全 2024-01-24 22:25 1.漏洞描述 亿赛通新一代电子文档安全管理系统(简称:CDG)是一款融合文档加密、数据分类分级、访问控制、关联分析、大数据分析、智能识别等核心技术的综合性数据智能安全产品。2024年1月,互联网披露其存在文件上传漏洞,攻击者可构造恶意请求结合目录遍历上传websh
继续阅读Monitorr 任意文件上传-CVE-2024-0713 小白菜安全 小白菜安全 2024-01-24 18:57 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围
继续阅读本周更新:命令/代码执行(一)原理和基础知识 | CTF训练营之Web篇 看雪课程 看雪学苑 2024-01-23 18:03 本周更新 欢迎来到 《CTF训练营-Web篇》 ! 随着互联网的普及与发展,网络安全也越发成为人们关注的焦点。 而在网络安全中,Web安全无疑是其中的一个重点领域。 该课程以CTF比赛中的Web安全为核心,包含了丰富的Web安全攻击和防御知识,帮助学员了解常见的网络攻击方
继续阅读从webpack开始发现的漏洞大礼包 aoteman 白帽子左一 2024-01-21 12:00 前言 信息收集贯穿渗透测试的全过程 webpack发现后台地址 日常SRC发现一个比较偏僻的域名,很有可能存在漏洞。git搜域名没找到源码。顺手翻了下js,发现webpack打包的源码,然后赶紧去搜了搜这个怎么利用,发现主要是用来找里面的接口,尝试未授权的思路。这个站点的webpack没有发现什么能
继续阅读CloudPanel makefile接口存在远程命令执行漏洞CVE-2023-35885 附POC软件 南风徐来 南风漏洞复现文库 2024-01-20 21:04 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 大家关注一下我的另外一个公
继续阅读上周关注度较高的产品安全漏洞(20240108-20240114) 原创 CNVD CNVD漏洞平台 2024-01-15 17:43 一、境外厂商产品漏洞 1、Siemens Solid Edge缓冲区溢出漏洞(CNVD-2024-01409) Solid Edge是一个软件工具组合,可解决各种产品开发过程:3D设计,仿真,制造和设计管理。Siemens Solid Edge存在缓冲区溢出漏洞,
继续阅读某OA系统快速代码审计(0day) 探幽安全 2024-01-14 23:45 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 0x00 前言 再一次寻找源码的过程当中,从某网盘搜索到了一个某OA系统,对此进行了一个快速代码审计。 0x01 审计过程 还是一如既往,快速定位出鉴权函数或
继续阅读【python专题】poc编写过程万能正则获取字符串 原创 南极熊 SCA御盾 2024-01-14 09:44 星球介绍 SCA御盾星球介绍详情请访问如下链接: SCA御盾星球介绍 0x01 阅读须知 SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利
继续阅读漏洞预警 | pyLoad远程代码执行漏洞 浅安 浅安安全 2024-01-13 08:00 0x00 漏洞编号 – # CVE-2023-47890 0x01 危险等级 – 高危 0x02 漏洞概述 pyLoad是一个用纯Python编写的免费开源下载管理器。它是一个轻量级的工具,旨在简化和优化下载文件的过程。 0x03 漏洞详情 CVE-2023-47890 漏洞类型:
继续阅读漏洞预警 | 百卓网络Smart多业务安全网关智能管理平台文件上传漏洞 浅安 浅安安全 2024-01-13 08:00 0x00 漏洞编号 – # CVE-2024-0300 0x01 危险等级 – 高危 0x02 漏洞概述 Smart多业务安全网关智能管理平台是一种网络设备,它可以帮助企业规范员工上网行为、提升网络带宽利用率、避免企业信息泄露、增强网络稳定性和安全性。
继续阅读用友CRM存在日志信息泄露-附上POC 原创 漏洞挖掘 渗透安全HackTwo 2024-01-07 10:28 0x01 产品简介 CRM首先是一种管理理念,核心是将企业的客户作为企业最重要的资源,通过完善的客户服务和深入的客户分析来满足客户的需求,在向客户不断提供最大价值的同时,实现企业的价值,实现“双赢” 。 TIPS: 批量检测POC在末尾领取 今日星球新增1day/0day未公开漏洞-公
继续阅读某网盘逻辑缺陷GetShell0day 青山 进击安全 2024-01-06 16:52 01 指纹 本篇文章为青山师傅代审实战案例分享 佬的指纹:”assets/picture/header-mobile.png” 我的指纹:title=”分享赚钱,让资源有价值!” 02 逻辑缺陷_文件上传 漏洞位置:public/server/index.php
继续阅读网康应用安全网关(NS-ASG) SQL注入漏洞 原创 漏洞挖掘 渗透安全HackTwo 2024-01-06 10:53 0x01 产品简介 网康科技的NS-ASG应用安全网关是一款软硬件一体化的产品,集成了SSL和IPSec,旨在保障业务访问的安全性,适配所有移动终端,提供多种链路均衡和选择技术,支持多种认证方式灵活组合,以及内置短信认证、LDAP令牌、USB KEY等多达13种认证方式 。
继续阅读