XWiki SolrSearchMacros 远程代码执行漏洞PoC(CVE-2025-24893) iSee857 Web安全工具库 2025-02-25 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
继续阅读SRC实战系列-记某次大学漏洞挖掘经过 进击安全 2025-02-22 03:45 免责声明 由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK 安全公众号 及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢大家!!! 请勿利用文章内的相关技术从事非法测试,由于传播,利用此文所提供的信息而造成的任何直接或者
继续阅读5th域安全微讯早报【20250222】046期 网空闲话 网空闲话plus 2025-02-21 23:58 2025-02-22 星期六Vol-2025-046 今日热点导读 1. 五角大楼加速“网络司令部 2.0 ”审查,要求列出权限愿望清单 DISA :国防部将在财年末实现所有军种的联合 ICAM 连接 3. 美国成立特别工作组管控人工智能和加密货币 Bybit 交易所遭黑客攻击,损
继续阅读【$200】一个速率限制不当的漏洞故事 原创 骨哥说事 骨哥说事 2025-02-21 12:29 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 原文地址:https://gugesay.com/archives/3975 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 在
继续阅读05 漏洞从哪里来?——体系痼疾(制度化) 原创 Richard 方桥安全漏洞防治中心 2025-02-21 00:00 本文跳出技术、工具、人员等具体因素,从管理制度、企业所在的政策法规环境探讨软件安全漏洞的成因。安全如果不在企业管理层的议事清单中,很难真正做到有效治理。企业当下面临 (1)相对严格的法律法规环境 和 (2)相对更具威胁的生存环境的双重压力,如何重塑企业管理制度,赋予安全适当的地
继续阅读记一次src通杀漏洞挖掘 原创 zkaq – 98k 掌控安全EDU 2025-02-18 04:00 扫码领资料 获网安教程 本文由掌控安全学院 – 98k 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 这是我第一次写漏洞分享的文章,主要是最近跟着几个厉害的师傅一起学习,挖了几个比较简单的漏洞,今天拿
继续阅读腾讯云安全中心推出2025年1月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-02-18 03:32 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读“挖漏洞换酒钱?通过信息收集挖到企业的严重漏洞全纪录思路分享 | 干货 蜜汁叉烧 渗透安全团队 2025-02-18 03:07 关于无问社区 无问社区-官网:http://www.wwlib.cn 本文来自社区成员,蜜汁叉烧饭投稿。欢迎大家投稿,投稿可获得无问社区AI大模型的使用红包哦! 无问社区:网安文章沉浸式免费看! 无问AI大模型不懂的问题随意问! 全网网安资源智能搜索只等你来! 0x01
继续阅读实战 | EDU 某些985/211证书站 (漏洞挖掘) 湘安无事 2025-02-17 23:04 声明 漏洞已上报至相关漏洞平台并已经修复,文中敏感信息均已做打码处理,请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本公众号及本人无关 前言 平时偶然挖一下edu,也有些许收获,索性抽空时间写下这篇文章,分享一下思路,希望此篇文章能给各位师傅一些技术提升的帮助, 文中若有疏漏或不当之处
继续阅读御话资讯|一周安全要闻(02.10-02.14) 网御星云 2025-02-17 00:00 行业动态 【《公共安全视频图像信息系统管理条例》发布】 《公共安全视频图像信息系统管理条例》于2024年12月16日国务院第48次常务会议通过,现予公布,自2025年4月1日起施行。 来源:中国信息安全 【1项网络安全国家标准获批发布】 根据2025年1月24日国家市场监督管理总局、国家标准化管理委员会发
继续阅读让Druid未授权访问漏洞危害最大化案例和利用工具|挖洞技巧 漏洞挖掘投稿 渗透安全HackTwo 2025-02-16 16:02 0x01 前言 Druid是阿里开发的数据库连接池,广泛用于监控和数据管理。常见的安全漏洞主要有两种:未授权访问和弱口令问题。若发现Druid未授权访问,利用druid_sessions工具快速获取 Alibaba Druid 的相关参数(sessi
继续阅读EDUSRC漏洞挖掘技巧汇总+信息收集各种姿势 sec0nd安全 2025-02-15 12:49 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 浅谈 哈喽哇,师傅们! 最近在挖教育类edudrc漏洞,然后最近在研究大学都有的站点功能——校园统一身份认证登录。这个站点每个学校
继续阅读自动化扫描利器,指纹识别更精准,漏洞扫描更全面 CRlife 无影安全实验室 2025-02-15 11:15 免责声明: 本篇文章仅用于技术交流, 请勿利用文章内的相关技术从事非法测试 , 由于传播、利用本公众号无影安全 实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即
继续阅读超大规模物联网漏洞事件曝光:27亿条数据泄露,含WiFi密码 AI小蜜蜂 FreeBuf 2025-02-15 02:05 近日,一场规模巨大的物联网(IoT)安全漏洞事件曝光了27亿条包含敏感用户数据的信息,其中包括Wi-Fi网络名称、密码、IP地址和设备标识符。 此次事件与一家植物生长灯制造商Mars Hydro以及加州注册公司LG-LED SOLUTIONS LIMITED有关。 网络安全研
继续阅读FreeBuf周报 | 全球VPN设备遭遇大规模暴力破解攻击;OpenSSL 软件库曝高危漏洞 Zicheng FreeBuf 2025-02-15 02:05 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 热点资讯 1. 全球VPN设备遭遇大规模暴力破解攻击,280万IP地址参与其中 一场大规模的暴力破解密
继续阅读Ivanti 修复 Connect Secure & Policy Secure 中的三个严重漏洞 Bill Toulas 代码卫士 2025-02-13 10:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 已为 Ivanti Connect Secure (ICS)、Ivanti Policy Secure (IPS) 和 Ivanti Secure Acce
继续阅读Zer0 Sec团队2025新年首次开班 | 一起解锁技术新高度 原创 Syst1m Zer0 sec 2025-02-13 08:50 介绍 【暴躁老哥开课 】第三期红蓝互怼&挖洞速成班!零基础也能白嫖当脚本小子!(战术后仰) ✔️ 课程卖点 : 👉 手把手教你怎么在甲方爸爸的系统里”合法搞事”(懂的都懂) 👉 新增白嫖级src入门教程!不会挖洞?包教包会 学
继续阅读从 0 到 1:Linux 服务器应急排查实战指南 让数据更安全 德斯克安全小课堂 2025-02-12 03:31 0x01 引言 在服务器运行过程中,网络安全攻击频发,常见威胁包括 挖矿病毒、蠕虫传播、DDoS 攻击、后门程序等。这些攻击不仅影响系统稳定性,还可能造成数据泄露或业务中断。对于系统运维和应急排查人员而言,如何在最短时间内识别攻击迹象、精准定位问题来源,并迅速采取应对措施,是一项至
继续阅读“挖漏洞换酒钱?通过信息收集挖到企业的严重漏洞全纪录思路分享 原创 蜜汁叉烧 白帽子社区团队 2025-02-12 02:07 关于无问社区 无问社区-官网:http://www.wwlib.cn 本文来自社区成员,蜜汁叉烧饭投稿。欢迎大家投稿,投稿可获得无问社区AI大模型的使用红包哦! 无问社区:网安文章沉浸式免费看! 无问AI大模型不懂的问题随意问! 全网网安资源智能搜索只等你来! 元宵佳节
继续阅读Kali Linux 高级渗透测试+Web安全漏洞汇总 计算机与网络安全 2025-02-11 23:57 加入知识星球: 网络安全攻防(HVV) 下载文件 本篇仅提供星球内下载,不提供人工获取 会员进群和文件下载指南 第一部分 攻击者杀链 第1章 走进Kali Linux 1.1 Kali Linux 1.2 配置网络服务和安全通信 1.2.1 调整网络代理设置 1.2.2 使用安全Shell保
继续阅读一个参数就能控制全站:IDOR漏洞深度剖析 原创 VlangCN HW安全之路 2025-02-11 12:46 在网络安全领域,IDOR(不安全的直接对象引用)是一种常见但极具危害的漏洞。它的存在可能导致未经授权的数据访问 、权限提升 ,甚至可能彻底破坏应用程序的安全。对于漏洞赏金猎人和安全测试人员来说,掌握 IDOR 漏洞的检测和利用方法,既是提升技能的重要途径,也是发现高价值漏洞的利器。 今
继续阅读『杂项』SSH公私钥认证原理及相关漏洞 黑白之道 2025-02-10 01:51 0x01 前言 随着信息安全意识的提升,SSH (Secure Shell)作为一种安全的远程登录协议,被广泛应用于服务器管理、数据传输等领域。SSH 的核心机制之一是公私钥认证,它相比密码认证更安全,能有效抵御暴力破解和中间人攻击。然而,公私钥认证并非绝对安全,其背后还隐藏着一些潜在的漏洞。本篇文章将深入探讨 S
继续阅读记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧 漏洞挖掘投稿 渗透安全HackTwo 2025-02-09 16:01 0x01 前言 在对某SRC分发平台进行渗透测试时,发现其后台管理系统存在安全漏洞。通过分析前端源码,发现了一个潜在的任意文件读取漏洞,并成功利用该漏洞获取了服务器的敏感信息,最终实现了从任意文件读取到获取服务器权限的全过程。 现在只对常读和星标的公
继续阅读漏洞公开——从弱口令到通杀 Z2O安全攻防 2025-02-09 15:41 No.1 起源 一切的一切,都源自于Sheen神挖到的那张CNVD…… 我羡慕得眼红,梦里都是证书,证书上都是我名字 可惜…梦醒了,我还是那个我,神还是那个神 不!我不能这样!我要拿证书!!!! 于是我打开了Edu SRC,目光锁定了最近上架的新证书——某学院的漏洞报送证书 No.2
继续阅读实战如何通过Druid提升至高危漏洞 实战安全研究 2025-02-09 09:06 免责声明 本公众号“猎洞时刻”旨在分享网络安全领域的相关知识,仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。 本公众号中提供的所有内容都是基于作者的经验和知识,并仅代表作者个人的观点和意见。这些观点和意见仅供参考,不构成任何形式的承诺或保证。 本公众号不对任何人因使用或依赖本公众号提供的信息、工具或技
继续阅读快速上手渗透测试报告写作:从WP到甲方报告的一站式指南 原创 泷羽Sec-静安 泷羽Sec-静安 2025-02-08 22:01 关注公众号泷羽Sec-静安 ,回复关键词找工具+WP 获取本文分享的WP模板和工具 师傅们在渗透测试过程中肯定要写WP和报告,这里分享我个人关于怎么快速写出格式整齐,内容完整详细,方便后期复现回溯的WP或者称“渗透测试报告”的经验。 软件和工具 首先,记笔记的首选语言
继续阅读春秋云镜靶场Initial_WP 原创 t3 ZeroPointZero安全团队 2025-02-08 06:34 此靶机只需要交一个 flag ,而把这个 flag 分成 3 段,分别位于每个靶机的用户下. FLAG1: 访问服务可以看见映入眼帘的ThinkPhP框架 直接掏出我们的Thinkphp一把梭工具,造! 成功连上webshell后进行简单信息收集,发现mysql数据库root是无需密
继续阅读【oscp】SickOS系列全教程 泷羽Sec-Norsea 2025-02-02 14:49 ~ 一份耕耘,一份收获 ~ SickOS1.1 靶机下载链接见: https://download.vulnhub.com/sickos/sick0s1.1.7z 靶机渗透,主机发现 arp-scan -l image-20250121142916961 端口扫描,80端口是没有开启的,3128端口有一
继续阅读Redis数据库主从复制RCE影响分析 NEURON SAINTSEC 2025-01-30 10:00 Reids 未授权的常见攻击方式有绝对路径写Webshell、写ssh公钥、利用计划任务反弹shell、主从复制RCE。 利用主从复制RCE,可以避免了通过写文件getshell时由于文件内含有其他字符导致的影响,也可以不需要借助crontab、php这种第三方的程序直接getshell,有明
继续阅读【burpsuite靶场-服务端2】身份认证漏洞-15个实验(全) 原创 underatted 泷羽Sec-underatted安全 2025-01-28 07:08 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢! 1. 概念 至少在概念上,
继续阅读