Panalog 日志审计系统 SQL 注入漏洞【XVE-2024-5232】
Panalog 日志审计系统 SQL 注入漏洞【XVE-2024-5232】 小酸弟 小酸弟信安 2024-08-05 09:28 01 简介及指纹 Panalog大数据日志审计系统是一款专注于大数据日志管理和审计的系统,旨在帮助企业和组织有效地管理、分析和审计大量日志数据。 资产检索 FOFA:body=”Maintain/cloud_index.php” 02 漏洞概述
继续阅读标签: 漏洞
干货 | vCenter 漏洞利用总结
干货 | vCenter 漏洞利用总结 安小圈 2024-08-05 08:45 安小圈 第467期 vCenter 漏洞_总结 免责声明: 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。**** 1 vSphere 背景介绍 vSphere,ESXi 和 vCenter 辨析: VMware Inc
继续阅读info_scan 自动化漏洞扫描系统
info_scan 自动化漏洞扫描系统 三沐 三沐数安 2024-08-05 08:30 info_scan 简介 自动 漏洞扫描系统。 包括IP基础信息探测模块:(位置、属性、操作系统、端口、绑定的域名、公司名称、公司位置信息、网站标题、CDN信息、绑定网站指纹、子域名), 漏洞扫描模块:(weblogic、struts2、nuclei、xray、rad、目录扫描、js链接扫描、端口扫描、调用威
继续阅读高效轻量的 Web 漏洞扫描工具
高效轻量的 Web 漏洞扫描工具 原创 白帽学子 白帽学子 2024-08-05 08:11 在我们这类网络安全团队的日常工作中,总是有大量的任务需要处理,而其中最重要的莫过于对系统和应用进行定期的安全检查。这不仅是为了满足合规要求,更是为了保护企业免受各种网络攻击的威胁。 在这个过程中,我发现BBScan这款工具真的是个不错的帮手。作为一个渗透测试人员,我通常需要在众多Web服务器上进行全面的漏
继续阅读漏洞预警 用友 NC querypsninfo SQL注入漏洞
漏洞预警 用友 NC querypsninfo SQL注入漏洞 by 融云安全-sm 融云攻防实验室 2024-08-04 22:28 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用
继续阅读[Win11]集成化综合漏洞扫描系统
[Win11]集成化综合漏洞扫描系统 原创 ChinaRan404 知攻善防实验室 2024-08-04 22:01 前言 之前是为了方便外包仔在客户现场漏扫所以才集成的这个系统 优点:倒腾一下格式可以直接在客户的Vmware ESXI上面上面部署,同时个人版Vmware也可以拿来直接用。 由Linux版本改为了Windows版(有很多不会用) 因为前两个更新的很频繁,所以我也尽量保证在一个月两更
继续阅读【新】IP网络广播服务平台任意文件上传漏洞
【新】IP网络广播服务平台任意文件上传漏洞 原创 小白菜安全 小白菜安全 2024-08-04 21:00 漏洞描述 IP网络广播服务平台 upload接口存可未授权访问显示任意文件上传。 资产信息 hunter=:web.icon==”9091011a03bffd9898d79fc589a2c65d” 漏洞复现 POST /api/v2/remote-upgrade/up
继续阅读【漏洞预警】D-LINK DI-8100 远程命令执行漏洞(CVE-2024-7436)
【漏洞预警】D-LINK DI-8100 远程命令执行漏洞(CVE-2024-7436) 原创 聚焦网络安全情报 安全聚 2024-08-04 20:48 预警公告 中危 近日,安全聚实验室监测到 D-LINK DI-8100 存在远程命令执行漏洞,编号为:CVE-2024-7436, 漏洞评分:6.3 攻击者可利用该漏洞对参数 cmd 操作导致命令执行,攻击可以是远程发起的。 01 漏洞描述
继续阅读喰星云-数字化餐饮服务系统not_finish.php存在SQL注入漏洞
喰星云-数字化餐饮服务系统not_finish.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warning/
继续阅读喰星云-数字化餐饮服务系统not_out_depot.php存在SQL注入漏洞
喰星云-数字化餐饮服务系统not_out_depot.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warni
继续阅读喰星云-数字化餐饮服务系统shelflife.php存在SQL注入漏洞
喰星云-数字化餐饮服务系统shelflife.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warning/p
继续阅读喰星云-数字化餐饮服务系统stock.php存在SQL注入漏洞
喰星云-数字化餐饮服务系统stock.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warning/php/s
继续阅读润乾报表InputServlet接口存在任意文件上传漏洞
润乾报表InputServlet接口存在任意文件上传漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 润乾报表是一个纯JAVA的企业级报表工具,支持对J2EE系统的嵌入式部署,无缝集成。服务器端支持各种常见的操作系统,支持各种常见的关系数据库和各类J2 EE的应用服务器,客户端采用标准纯html方式展现,支持ie和netscape, 润乾报表是领先的
继续阅读润乾报表InputServlet接口存在任意文件读取漏洞
润乾报表InputServlet接口存在任意文件读取漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 润乾报表是一个纯JAVA的企业级报表工具,支持对J2EE系统的嵌入式部署,无缝集成。服务器端支持各种常见的操作系统,支持各种常见的关系数据库和各类J2 EE的应用服务器,客户端采用标准纯html方式展现,支持ie和netscape, 润乾报表是领先的
继续阅读润乾报表dataSphereServlet接口存在任意文件上传漏洞
润乾报表dataSphereServlet接口存在任意文件上传漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 润乾报表是一个纯JAVA的企业级报表工具,支持对J2EE系统的嵌入式部署,无缝集成。服务器端支持各种常见的操作系统,支持各种常见的关系数据库和各类J2 EE的应用服务器,客户端采用标准纯html方式展现,支持ie和netscape, 润乾报
继续阅读润乾报表dataSphereServlet接口存在任意文件读取漏洞
润乾报表dataSphereServlet接口存在任意文件读取漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 润乾报表是一个纯JAVA的企业级报表工具,支持对J2EE系统的嵌入式部署,无缝集成。服务器端支持各种常见的操作系统,支持各种常见的关系数据库和各类J2 EE的应用服务器,客户端采用标准纯html方式展现,支持ie和netscape, 润乾报
继续阅读Android版Telegram中的0day
Android版Telegram中的0day cc 信安百科 2024-08-03 22:04 Android版Telegram中的EvilVideo漏洞可让攻击者发送伪装成视频的恶意软件。ESET发现了这个零日漏洞,促使Telegram在10.14.5版本中发布了安全补丁。立即更新! ESET网络安全研究人员发现了一个针对Android版Telegram的零日漏洞,被称为“EvilVideo”,
继续阅读CVE-2024-40725|Apache HTTP Server 源代码泄露漏洞(POC)
CVE-2024-40725|Apache HTTP Server 源代码泄露漏洞(POC) alicy 信安百科 2024-08-03 22:04 0x00 前言 Apache HTTP Server(简称Apache),是Apache软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行,由于其具有的跨平台性和安全性,被广泛使用,是最流行的Web服务器端软件之一。 Apache
继续阅读攻击 Android Binder:对 CVE-2023-20938 的分析和利用
攻击 Android Binder:对 CVE-2023-20938 的分析和利用 谈思实验室 2024-08-03 18:12 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 Binder 是 Android 上的主要进程间通信(IPC)通道。它支持各种功能,如在进程边界传递文件描述符和包含指针的对象。它由 Android 平台提供的用户空间库( libbinder 和 libhwbind
继续阅读内核漏洞学习记录(CVE-2021-22555)
内核漏洞学习记录(CVE-2021-22555) pureGavin 看雪学苑 2024-08-03 17:59 看雪的二进制课程已经学习结束了,此篇是考核内容,顺便检测一下我对课程内容的理解程度。 参考内容 https://www.anquanke.com/post/id/254027 https://arttnba3.cn/2022/04/01/CVE-0X07-CVE-2021-22555/
继续阅读使用开源AI探寻0day的艺术
使用开源AI探寻0day的艺术 原创 破天KK KK安全说 2024-08-03 16:55 将分享如何使用经过微调的用于查找漏洞的开源 AI 模型 codeastra-7B 来识别各种开源项目(如 apache pulsar、apache airflow、apache cocoon、tensorflow、imagemagik 等)中的零日漏洞,以及如何构建一个结合静态分析工具(如 semgrep
继续阅读[企业安全运维] 海康威视现新0day 可未授权致RCE 速查!
[企业安全运维] 海康威视现新0day 可未授权致RCE 速查! 合规渗透 2024-08-03 14:37 H14-11海康威视-iSecure Center综合安防管理平台-RCE 漏洞描述: 海康威视综合安防管理平台 /portal/cas/login/ajax/licenseExpire.do 存在远程命令执行漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码。 fofa语法
继续阅读CVE-2024-6980 Bitdefender GravityZone 存在严重漏洞
CVE-2024-6980 Bitdefender GravityZone 存在严重漏洞 flyme 独眼情报 2024-08-03 11:54 Bitdefender GravityZone 更新服务器中发现了一个漏洞。该漏洞可能允许攻击者在目标更新服务器上执行服务器端请求伪造 (SSRF)。该漏洞 (CVE-2024-6980) 的 CVSS 4.0 评分为 9.2(满分 10 分)。 描述:
继续阅读IP广播服务平台未授权文件上传getshell-0Day附批量POC
IP广播服务平台未授权文件上传getshell-0Day附批量POC 原创 Ting丶 Ting的安全笔记 2024-08-03 11:51 web.icon==”9091011a03bffd9898d79fc589a2c65d” 复现详细步骤 POST /api/v2/remote-upgrade/upload HTTP/1.1 Host: User-Agent: Moz
继续阅读「漏洞复现」百易云资产管理运营系统 comfileup.php 文件上传漏洞(XVE-2024-18154)
「漏洞复现」百易云资产管理运营系统 comfileup.php 文件上传漏洞(XVE-2024-18154) 冷漠安全 冷漠安全 2024-08-03 11:23 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅
继续阅读HW2024汇总-8.2(漏洞数196)
HW2024汇总-8.2(漏洞数196) 小白菜安全 小白菜安全 2024-08-03 09:34 漏洞清单 DAY-20240802 1、D-link DIR-600存在命令注入(CVE-2024-7357) 2、泛微E-Cology系统deleteRequestInfoByXml存在XXE漏洞 3、3C环境自动监测监控系统ReadLog文件读取漏洞 4、(暂无)深圳市拓普泰尔科技有限公司RG2
继续阅读一文读懂2024HW & 2024HW漏洞合集
一文读懂2024HW & 2024HW漏洞合集 Hacking黑白红 2024-08-03 09:28 免责声明 请勿利用文章内的相关技术从事非法测试。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,请务必遵守网络安全法律法规。如文中内容涉及侵权行为,请及时联系作者,我们会立刻删除并致歉。文中内容仅供参考。 何为护网行动? 护
继续阅读HopLa插件让漏洞挖掘更轻松
HopLa插件让漏洞挖掘更轻松 柠檬赏金猎人 2024-08-03 09:05 HopLa是 Burp Suite 一款插件,其自动添加、填充测试值,使您的漏洞挖掘更加容易。 手动测试是一项非常费力的事情,记不住一下测试payload很正常,对参数值又不想手敲,那这个插件非常适合您。 默认情况下,HopLa 附带默认payload。您可以通过在菜单 中 加载自定义 JSON 文件来添加定制化您测试
继续阅读H3C路由器 userLogin.asp 信息泄漏漏洞
H3C路由器 userLogin.asp 信息泄漏漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-02 22:41 1. 漏洞描述 H3C路由器多系列存在信息泄露漏洞,攻击者可以利用该漏洞获取备份文件中的管理员账户及密码等敏感信息 2. 漏洞复现 GET /userLogin.asp/../actionpolicy_status/../GR2200.cfg HTTP/1.1 Ho
继续阅读Nexus Reposity3目录穿越漏洞CVE-2024-4956
Nexus Reposity3目录穿越漏洞CVE-2024-4956 原创 R0seK1ller 蟹堡安全团队 2024-08-02 22:41 1. 漏洞描述 Sonatype Nexus Repository 3(Sonatype Nexus 3)是一个由Sonatype开发的仓库管理工具,用于管理和托管各种软件构件(如Maven构件、Docker镜像等)。它提供了一种集中化的方式来存储、管理
继续阅读