Lua项目下SSRF利用Redis文件覆盖lua回显RCE
Lua项目下SSRF利用Redis文件覆盖lua回显RCE 1315609050541697 神农Sec 2025-01-13 09:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://xz.aliyun.com/t/17034 作者:13156090505416
继续阅读标签: 0day
记一次某SRC信息管理系统多个漏洞组合Getshell|挖洞技巧
记一次某SRC信息管理系统多个漏洞组合Getshell|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2025-01-12 16:00 0x01 前言 记一次某SRC信息管理系统多个漏洞组合Getshell,并已提交至 SRC 平台修复。过程包括发现未授权访问漏洞、利用 SQL 注入获取邮箱账号、爆破弱口令登录后台、利用目录遍历漏洞找到上传路径,并通过条件竞争成功绕过黑名单上传 we
继续阅读「漏洞复现」某源地产ERP Service.asmx X-Forwarded-For注入漏洞
「漏洞复现」某源地产ERP Service.asmx X-Forwarded-For注入漏洞 冷漠安全 冷漠安全 2025-01-12 04:51 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读禅道CMS开源版SQL注入漏洞分析
禅道CMS开源版SQL注入漏洞分析 1629192581190874 神农Sec 2025-01-12 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://xz.aliyun.com/t/16976 作者:1629192581190874 0x1 前言介绍
继续阅读「漏洞复现」瑞友天翼应用虚拟化系统 GetPwdPolicy SQL注入漏洞
「漏洞复现」瑞友天翼应用虚拟化系统 GetPwdPolicy SQL注入漏洞 冷漠安全 冷漠安全 2025-01-11 05:05 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读Google Project Zero 研究人员发现针对三星设备的零点击漏洞
Google Project Zero 研究人员发现针对三星设备的零点击漏洞 会杀毒的单反狗 军哥网络安全读报 2025-01-11 01:03 导读 网络安全研究人员详细介绍了目前已修补的安全漏洞,该漏洞影响三星智能手机上的Monkey Audio (APE) 解码器,可能导致代码执行。 该漏洞编号为CVE-2024-49415,CVSS 评分:8.1,影响运行 Android 12、13 和
继续阅读Palo Alto Networks 修复退市 Migration Tool中的高危漏洞
Palo Alto Networks 修复退市 Migration Tool中的高危漏洞 Ionut Arghire 代码卫士 2025-01-10 09:59 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,Palo Alto Networks 公司修复了 Expedition 迁移工具中的多个漏洞,其中一个是高危级别,可导致敏感信息遭暴露。 这款免费工具此前被称为 “Migrat
继续阅读2025最新挖漏洞给报酬的网站汇总,零基础入门到精通,收藏这篇就够了
2025最新挖漏洞给报酬的网站汇总,零基础入门到精通,收藏这篇就够了 白帽黑客k哥 2025-01-10 01:48 一、众测平台(国内) 名称 网址 漏洞盒子 https://www.vulbox.com/ 火线安全平台 https://www.huoxian.cn/ 漏洞银行 https://www.bugbank.cn/ 360漏洞众包响应平台 https://src.360.net/ 补天
继续阅读Ivanti Connect Secure VPN 成为新0day攻击的目标
Ivanti Connect Secure VPN 成为新0day攻击的目标 会杀毒的单反狗 军哥网络安全读报 2025-01-10 01:00 导读 Google 旗下的 Mandiant 将新修补的 Ivanti VPN 0day 漏洞的利用与网络间谍联系起来。 Ivanti 周三向客户发出警报,其 Connect Secure (ICS) VPN 设备中已修复两个漏洞,分别为 CVE-20
继续阅读Gayfemboy 僵尸网络瞄准 Four-Faith 路由器漏洞
Gayfemboy 僵尸网络瞄准 Four-Faith 路由器漏洞 鹏鹏同学 黑猫安全 2025-01-09 23:02 Gayfemboy 僵尸网络最早在2024年2月被发现,它借鉴了基本的Mirai变种代码,并且现在集成了N-day和0-day漏洞利用。到2024年11月,Gayfemboy利用了Four-Faith工业路由器和Neterbit路由器以及Vimar智能家居设备中的0-day漏洞
继续阅读一款漏洞及指纹库图形化工具-强大的漏洞库及指纹库|漏洞探测
一款漏洞及指纹库图形化工具-强大的漏洞库及指纹库|漏洞探测 漏洞挖掘 渗透安全HackTwo 2025-01-09 16:01 0x01 工具介绍 James_synthesis_tooL 研发目的:旨在帮助技术人员在日常渗透测试或攻防演练中对于漏洞及指纹的积累,形成自己强大的漏洞库及指纹库。相比于nuclei脚本可能会相对无脑简化!且采用GUI设置,使用起来也更加方便! 下载地址在末尾 0x0
继续阅读Ivanti提醒注意 Connect Secure 产品中的新0day
Ivanti提醒注意 Connect Secure 产品中的新0day Ryan Naraine 代码卫士 2025-01-09 10:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,Ivanti 公司提醒注意面向企业的产品中的远程可利用漏洞,并表示其中一个漏洞已遭在野利用。 这两个高危漏洞为CVE-2025-0282和CVE-2025-0283,可导致未认证的远程攻击者发动代
继续阅读蓝凌EIS智慧协同平台 fi_message_receiver.aspx SQL注入漏洞复现(CVE-2025-22214)
蓝凌EIS智慧协同平台 fi_message_receiver.aspx SQL注入漏洞复现(CVE-2025-22214) 冷漠安全 冷漠安全 2025-01-09 03:20 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次
继续阅读「漏洞复现」以柔资讯-D-Security终端文件保护系统 logFileName 任意文件读取漏洞
「漏洞复现」以柔资讯-D-Security终端文件保护系统 logFileName 任意文件读取漏洞 冷漠安全 冷漠安全 2025-01-08 10:55 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读更新第1章!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期)
更新第1章!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期) 看雪课程 看雪学苑 2025-01-08 09:59 本周更新:第一章 固件安全基础 1.1 固件/镜像定义 1.2 软件工具环境 1.3 交叉编译环境 1.4 硬件工具环境 限时优惠:¥21000 近些年来不论是HVV行动还是各种红蓝对抗中,边界设备或者企业级网络设备被当作是进入内网的最快目标,因此对于这些类型的设备安全问题开
继续阅读联发科芯片集存在严重的RCE漏洞,影响数百万台设备
联发科芯片集存在严重的RCE漏洞,影响数百万台设备 do son 代码卫士 2025-01-08 09:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 2025年1月份,联发科发布产品安全公告,修复了影响多款芯片集的安全漏洞。该公告详细说明了从智能手机、平板、物联网设备和智能电视等产品中发现的漏洞。 其中最严重的漏洞是CVE-2024-20154,它是位于联发科现代固件中的一个栈溢出漏
继续阅读0day漏洞无处遁形:大模型安全挖洞实践
0day漏洞无处遁形:大模型安全挖洞实践 腾讯技术工程 2025-01-08 01:15 作者:腾讯啄木鸟团队 1. 序章之《白帽寓言》 我本是一名普通的小白帽,有一天上班路上,遇到了位神秘老者,他拦住我,问道:小伙子,你是做什么的? 我大声回答:我是挖洞的! 老者摸着胡须,目光炯炯望着我:刚刚我看路边有人弄丢了几把铲子,想必是你弄丢的,那让我来考考你,你丢的是这把金铲子,还是这把银铲子呢? 我说
继续阅读新的 Mirai 僵尸网络利用0day漏洞攻击工业路由器
新的 Mirai 僵尸网络利用0day漏洞攻击工业路由器 会杀毒的单反狗 军哥网络安全读报 2025-01-08 01:00 导读 一个相对较新的基于 Mirai 的僵尸网络日益复杂,现在正在利用 0day 漏洞攻击工业路由器和智能家居设备的安全漏洞。 据监测僵尸网络发展和攻击情况的奇安信 X Lab 研究人员称,对以前未知的漏洞的利用始于 2024 年 11 月。 其中一个安全问题是 CVE-2
继续阅读「漏洞复现」深科特 LEAN MES系统 SMTLoadingMaterial.ashx SQL注入漏洞
「漏洞复现」深科特 LEAN MES系统 SMTLoadingMaterial.ashx SQL注入漏洞 冷漠安全 冷漠安全 2025-01-07 13:32 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读Web安全进阶|Web漏洞分析与防范实战
Web安全进阶|Web漏洞分析与防范实战 IT阅读排行榜 Z2O安全攻防 2025-01-07 12:01 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这
继续阅读更新:第3章-AFL原理!系统0day安全-二进制漏洞攻防(第4期)
更新:第3章-AFL原理!系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-01-07 09:59 本周更新:第三章 AFL原理 3.1 路径信息反馈 3.2 forkserver 3.3 样本变异 3.4 一些思考 二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事件。为了应对这一挑战,我
继续阅读Gayfemboy:一个利用四信工业路由0DAY传播的僵尸网络
Gayfemboy:一个利用四信工业路由0DAY传播的僵尸网络 原创 奇安信X实验室 奇安信XLab 2025-01-07 08:48 概述 无数脚本小子怀揣着发财梦,拿着 Mirai 的源码兴高采烈地杀入 DDoS 黑产行业,幻想着靠僵尸网络大赚一笔。现实是残酷的,这些人来时满怀雄心,去时却灰头土脸,只给安全社区留下一个又一个只能活跃 3–4 天的 Mirai 变种。然而,今天的主角Gayfem
继续阅读【吃瓜】震惊,某漏洞文库公众号作者被请喝茶
【吃瓜】震惊,某漏洞文库公众号作者被请喝茶 Mstir 星悦安全 2025-01-07 05:43 点击上方 蓝字 关注我们 并设为 星标 0x01 注销事件 就在今天早上, 漏洞文库 公众号被 “自主注销,已停止使用” 据传闻说是因为发了 某华的系统的RCE漏洞,别人被打爆了,导致被抓包 号主的朋友圈发布了以下内容 0x02 关注公众号 标签:代码审计,0day,渗透测试,系统,通用,0day,
继续阅读CVE-2024-47575:FortiManager FortiManager Cloud 缺少身份验证允许执行任意代码或命令
CVE-2024-47575:FortiManager FortiManager Cloud 缺少身份验证允许执行任意代码或命令 Ots安全 2025-01-06 05:44 最近,Fortinet(及其客户)的日子不好过,甚至比平时更难过。最近,设备漏洞不断增加,而FortiManager(用于集中管理 FortiGate 设备的工具)中又出现了严重的 CVSS 9.8 漏洞。 与往常一样,本博
继续阅读漏洞通告 | Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞
漏洞通告 | Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞 原创 微步情报局 微步在线研究响应中心 2025-01-06 02:50 漏洞概况 LDAP 是一种开放的、跨平台的、行业标准的应用层协议,用于访问和维护分布式目录信息服务。 它定义了客户端如何与目录服务器进行通信,以查询、修改和管理目录数据。 微步情报局获取到Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏
继续阅读【漏洞复现】某平台-LicManage-sql注入漏洞
【漏洞复现】某平台-LicManage-sql注入漏洞 原创 南极熊 SCA御盾 2025-01-06 02:06 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果
继续阅读【Nday漏洞分析】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)
【Nday漏洞分析】ProjectSend 身份认证绕过漏洞(CVE-2024-11680) jylove 神农Sec 2025-01-06 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://zone.huoxian.cn/d/2961-ndayproje
继续阅读DataEase 严重级别任意登录漏洞 POC 已公开
DataEase 严重级别任意登录漏洞 POC 已公开 原创 一个不正经的黑客 一个不正经的黑客 2025-01-05 02:04 DataEase 严重级别任意登录漏洞 POC 已公开 1.DataEase 简介 DataEase 是一个开源的数据可视化分析工具 项目地址:https://github.com/dataease/dataease 目前 Github 平台已经高达 18.7K St
继续阅读山石安研院2024年度代表性原创0day漏洞
山石安研院2024年度代表性原创0day漏洞 原创 NEURON 山石网科安全技术研究院 2025-01-04 05:25 在过去的一年中安全技术研究院三大实验室挖掘了无数的各类原创0day漏洞,帮助国内外各大厂商修复了众多的高危及严重漏洞,由于CNVD的漏洞最高级别只是高危,所以有些超危、严重的漏洞都算为高危了。这里仅以CNVD为例展示部分有代表性的漏洞,也可以看出近几年的物联网类设备都是安全漏
继续阅读