记一次实战日穿整个系统getshell-共九个漏洞
记一次实战日穿整个系统getshell-共九个漏洞 原创 猎洞时刻 猎洞时刻 2025-06-09 12:12 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑
继续阅读标签: 行业
微软MSRC榜首赏金猎人带你来挖洞
微软MSRC榜首赏金猎人带你来挖洞 迪哥讲事 2025-06-09 12:05 关注我们丨文末赠书 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用十余年攻防实
继续阅读2025 RSAC热点研讨会 | AI重塑安全运营,智能体引领未来发展
2025 RSAC热点研讨会 | AI重塑安全运营,智能体引领未来发展 360数字安全 2025-06-09 11:57 News Today 近日,由中国计算机学会主办,CCF计算机安全专业委员会、360数字安全集团和绿盟科技集团共同承办的“第十七届信息安全高级论坛暨2025 RSAC热点研讨会”在北京成功举办。本届论坛以“多元聚智·协同守护”为主题,汇聚政产学研企多方专家,围绕2025年RSA
继续阅读每周网安资讯 (6.4-6.9)| APT组织利用PathWiper恶意软件针对乌克兰关键基础设施
每周网安资讯 (6.4-6.9)| APT组织利用PathWiper恶意软件针对乌克兰关键基础设施 交大捷普 2025-06-09 10:10 2025[ 每周网安资讯 ]6.4-6.9 网安资讯 1、中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》 为进一步规范涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗
继续阅读CNVD漏洞周报2025年第21期
CNVD漏洞周报2025年第21期 原创 CNVD CNVD漏洞平台 2025-06-09 09:41 2 0 2 5 年 06 月02日 – 2 0 2 5 年 0 6 月08 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 中。 国家信息安全漏 洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞488个,其中高危漏洞219个、中
继续阅读全球科技巨头隐秘监视数十亿Android用户,滥用系统漏洞跨端追踪长达八年
全球科技巨头隐秘监视数十亿Android用户,滥用系统漏洞跨端追踪长达八年 安全客 2025-06-09 08:37 近日,一项由西班牙 IMDEA 软件研究所牵头的学术研究引发全球安全圈关注。研究指出,全球两大科技巨头——美国的 Meta 和俄罗斯的 Yandex,借助安卓平台的本地通信机制,绕过系统权限控制与用户隐私防护,悄然实现了网页与 App 之间的 ID 跨端绑定与行为数据融合采集。这一
继续阅读【安全圈】黑客团伙冒充IT技术支持人员入侵Salesforce与Okta平台
【安全圈】黑客团伙冒充IT技术支持人员入侵Salesforce与Okta平台 安全圈 2025-06-08 11:00 关键词 黑客 谷歌披露新型云端攻击链:黑客团伙伪装IT支持实施语音钓鱼,瞄准欧美零售、酒店及教育行业 攻击手法升级:利用Salesforce工具+社会工程学窃取数据 谷歌威胁情报团队周三发布报告指出,一个自称“The Community ”(简称Com )的青少年黑客组织正通过语
继续阅读小米:车联网安全漏洞挖掘
小米:车联网安全漏洞挖掘 GRCC IoVSecurity 2025-06-08 02:17 点击上方 蓝色字体 ,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 汽车信息安全 漏洞 扫描及模糊测试工具介绍 汽车.工控和 物联网 行业的.0
继续阅读网络安全人士必知的 AWVS 漏洞扫描工具
网络安全人士必知的 AWVS 漏洞扫描工具 原创 承影 兰花豆说网络安全 2025-06-07 15:51 随着网络攻击手段的日益复杂,网站安全成为信息安全防护的重要一环。Web 应用作为企业对外开放的重要窗口,也是攻击者的重点目标。SQL 注入、跨站脚本(XSS)、文件包含、命令执行等常见漏洞频频出现在安全事件中。因此,选择一款高效、全面的 Web 漏洞扫描工具对安全人员来说至关重要。AWVS(
继续阅读【安全圈】热门 Chrome 扩展陷 HTTP 和硬编码密钥双重漏洞
【安全圈】热门 Chrome 扩展陷 HTTP 和硬编码密钥双重漏洞 安全圈 2025-06-07 11:00 关键词 漏洞 网络安全研究人员发现多款热门谷歌Chrome扩展存在严重安全隐患:通过HTTP明文传输数据并在代码中硬编码密钥,导致用户隐私与安全面临风险。 赛门铁克安全技术响应团队研究员指出:“数款广泛使用的扩展通过未加密的HTTP协议传输敏感数据,以明文形式暴露浏览域名、设备ID、操作
继续阅读6.11北京 | 报名FORCE原动力大会-大模型安全分会场 文末有福利
6.11北京 | 报名FORCE原动力大会-大模型安全分会场 文末有福利 FB客服 FreeBuf 2025-06-07 10:01 6月11日-12日 「2025春季·火山引擎FORCE原动力大会」 将于北京国家会议中心 盛大开启! 会议将围绕 AI Agent | MCP | 多模态理解 | 深度思考 AI 云原生 | AI 基础设施 | 行业落地 多个主题进行 6月11日下午3点 ,Free
继续阅读VMware NSX XSS 漏洞使系统面临恶意代码注入
VMware NSX XSS 漏洞使系统面临恶意代码注入 网安百色 2025-06-06 11:44 Broadcom 发布了针对 VMware NSX 的高严重性安全公告 (VMSA-2025-0012),解决了三个新发现的存储跨站点脚本 (XSS) 漏洞:CVE-2025-22243、CVE-2025-22244 和 CVE-2025-22245。 这些漏洞会影响 NSX Manager UI
继续阅读SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击
SBOM风险预警 | pino系列投毒包开展敏感数据窃取及远程代码执行攻击 原创 悬镜安全情报中心 悬镜安全 2025-06-06 08:02 SBOM情报概述 Summary 近期(2025.04~2025.06),悬镜供应链安全情报中心在NPM官方仓库中连续捕获近40起伪装成高下载量知名日志库pino的包投毒事件,该系列投毒的特点是通过代码克隆pino项目完整源码,并篡改pino模块主入口文件
继续阅读基于反序列化漏洞,通过 Sharp4ViewStateShell 执行命令实现权限维持
基于反序列化漏洞,通过 Sharp4ViewStateShell 执行命令实现权限维持 原创 专攻.NET安全的 dotNet安全矩阵 2025-06-06 02:37 在红队中持久化访问权限是关键环节之一,Sharp4ViewStateShell.exe 是一款专门为.NET Web站点设计的权限维持工具,其核心思想是通过配置自定义的 MachineKey ,结合 .NET 的 ViewSta
继续阅读漏洞预警 | Elber身份认证绕过漏洞
漏洞预警 | Elber身份认证绕过漏洞 浅安 浅安安全 2025-06-06 00:01 0x00 漏洞编号 – CVE-2025-0674 0x01 危险等级 – 高危 0x02 漏洞概述 Elber是一家从事广播行业模拟/数字微波链路的公司。 0x03 漏洞详情 CVE-2025-0674 漏洞类型: 身份认证绕过 影响: 越权访问 简述: Elber多个产品的/mo
继续阅读我不再依赖 CVE ,对漏洞管理的重新构想
我不再依赖 CVE ,对漏洞管理的重新构想 原创 刘宸宇 数世咨询 2025-06-05 10:31 疲于奔命的漏洞管理 漏洞管理的天然滞后性,加上策略和流程的延迟,让安全团队疲于奔命。在能力有限的现实下,要立即修复所有漏洞只会让团队不堪重负。我们的漏洞运营中心 (VOC) 数据集分析团队在 68,500 个客户资产中发现了 1,337,797 个安全漏洞。其中有CVE编号的 32,585 个漏洞
继续阅读创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测
创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-06-05 07:51 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实
继续阅读WebShell 再进化:无需 cmd.exe 实现任意命令执行
WebShell 再进化:无需 cmd.exe 实现任意命令执行 原创 专攻.NET安全的 dotNet安全矩阵 2025-06-05 02:38 在红队渗透测试中,绕过安全防护机制以实现隐蔽的命令执行是关键策略之一。 传统的命令执行方式,如调用 cmd.exe ,常常被现代安全产品识别和拦截。 为应对这一挑战,Sharp4WebCmdPlus2 工具应运而生。 该工具完全不依赖 cmd.exe
继续阅读谷歌Chrome零日漏洞遭广泛利用,可执行任意代码
谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 湖南省网络空间安全协会 2025-06-04 06:54 谷歌在确认攻击者正在广泛利用一个关键零日漏洞(zero-day vulnerability)后,紧急发布了Chrome安全更新。该漏洞编号为CVE-2025-5419,攻击者可通过Chrome V8 JavaScript引擎中的越界读写操作,在受害者系统上执行任意代码。 Part01 紧急
继续阅读谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 | 顶级大模型向警方举报用户!AI告密排行榜出炉
谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 | 顶级大模型向警方举报用户!AI告密排行榜出炉 e安在线 e安在线 2025-06-04 03:20 谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 谷歌在确认攻击者正在广泛利用一个关键零日漏洞(zero-day vulnerability)后,紧急发布了Chrome安全更新。该漏洞编号为CVE-2025-5419,攻击者可通过Chrome
继续阅读基于 ViewState 反序列化漏洞,通过 Sharp4ViewStateShell 执行命令实现权限维持
基于 ViewState 反序列化漏洞,通过 Sharp4ViewStateShell 执行命令实现权限维持 原创 专攻.NET安全的 dotNet安全矩阵 2025-06-04 00:23 在红队中持久化访问权限是关键环节之一,Sharp4ViewStateShell.exe 是一款专门为.NET Web站点设计的权限维持工具,其核心思想是通过配置自定义的 MachineKey ,结合 .NE
继续阅读SRC凭什么要为“废物”白帽子的真实漏洞付费?
SRC凭什么要为“废物”白帽子的真实漏洞付费? 原创 一个不正经的黑客 一个不正经的黑客 2025-06-03 13:23 今天刷到一个瓜,某个白帽子参加了某SRC的专项漏洞活动,这个活动也非常专业哈! 一些主流大厂比如美团、腾讯、阿里这些大型SRC举办过此类似活动。 般来说,举办这类专项活动的厂商其实偏少,但通常都有一个非常明显的特征: 主办厂商会为本次活动准备非常充裕的资金支持,目的就是聚焦挖
继续阅读Edu实战记录 | 四个漏洞打包提交
Edu实战记录 | 四个漏洞打包提交 猎洞时刻 猎洞时刻 2025-06-03 10:46 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑灰产、非法入侵、攻击
继续阅读【风险通告】Roundcube Webmail存在反序列化漏洞(CVE-2025-49113)
【风险通告】Roundcube Webmail存在反序列化漏洞(CVE-2025-49113) 安恒研究院 安恒信息CERT 2025-06-03 10:36 漏洞概述 漏洞名称 Roundcube Webmail存在反序列化漏洞(CVE-2025-49113) 安恒CERT评级 1级 CVSS3.1评分 9.9 CVE编号 CVE-2025-49113 CNVD编号 未分配 CNNVD编号 未分
继续阅读CNVD漏洞周报2025年第20期
CNVD漏洞周报2025年第20期 国家互联网应急中心CNCERT 2025-06-03 09:27 2 0 2 5 年 0 5 月26 日 – 2 0 2 5 年 0 6 月01 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 高。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞425个,其中高危漏洞251个、中
继续阅读上周关注度较高的产品安全漏洞(20250526-20250601)
上周关注度较高的产品安全漏洞(20250526-20250601) 原创 CNVD CNVD漏洞平台 2025-06-03 09:13 一、境外厂商产品漏洞 1、NETGEAR RAX30缓冲区溢出漏洞 NETGEAR RAX30是美国网件(NETGEAR)公司的一个双频无线路由器。NETGEAR RAX30存 在缓冲区溢出漏洞,该漏洞源于缺乏对用户提供的数据长度进行验证,攻击者可利用该漏洞执行任
继续阅读群晖DiskStation漏洞利用:从CVE-2024-10442到远程代码执行
群晖DiskStation漏洞利用:从CVE-2024-10442到远程代码执行 原创 GKDf1sh 山石网科安全技术研究院 2025-06-03 09:11 如何从简单的空字节写入漏洞演变为远程代码执行的致命攻击? 在网络安全领域,每一个新发现的漏洞都可能成为攻击者手中的利刃。2024年10月,安全研究人员在群晖科技(Synology)的DiskStation DS1823xs+型号设备上发现
继续阅读粉丝福利*3《攻击网络协议:协议漏洞的发现+利用+保护》
粉丝福利*3《攻击网络协议:协议漏洞的发现+利用+保护》 异步图书 亿人安全 2025-06-03 08:12 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用
继续阅读当漏洞成为“数字战争”的弹药,谁能改写攻防规则?(文末赠书)
当漏洞成为“数字战争”的弹药,谁能改写攻防规则?(文末赠书) 0x6270安全团队 0x6270安全团队 2025-06-03 08:00 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜
继续阅读搭建靶场、Windows/Linux系统安全、sql注入、XSS、代码审计/RCE、木马免杀、暴力破解、SSRF、提权
搭建靶场、Windows/Linux系统安全、sql注入、XSS、代码审计/RCE、木马免杀、暴力破解、SSRF、提权 计算机与网络安全 2025-06-03 04:57 渗透测试工程师(高级) 5天直播课 (6月29号,7月5、6、12、13号) 线上考试,2周左右下证 终身有效,无需维持 扫码报名咨询 618抽奖 抽奖礼品为iPhone16、618元现金红包 第一波:5月31 日中午 12:0
继续阅读