【漏洞复现】某平台-Upload-file-upload-aspx任意文件上传漏洞
【漏洞复现】某平台-Upload-file-upload-aspx任意文件上传漏洞 原创 南极熊 SCA御盾 2024-12-10 02:50 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供
继续阅读标签: 0day
美国顶级红队演练,只用了个Nday?
美国顶级红队演练,只用了个Nday? 原创 ThreatBook 微步在线 2024-12-10 00:28 前不久,美国网络安全和基础设施安全局 (CISA),对美国关键基础设施行业某组织进行了一次红队演练,以此评估组织的网络安全检测和响应能力。演练期间,红队的渗透路径如下所示。 由于防守方存在诸多偏离了安全基线的配置,并且在策略上忽略了针对网络流量和账户活动的深度检测,因此未能有效限制红队利用
继续阅读【0day】安徽生命港湾信息技术有限公司服务配置工具存在任意文件下载漏洞
【0day】安徽生命港湾信息技术有限公司服务配置工具存在任意文件下载漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-09 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **安徽生命港湾信息技术有限公司凭借技术团队多年的行业耕耘及深入场景的产品设计和创新,以IBMS为可视化运维管理平台,将物联网数据采集、大数据与IB
继续阅读一个好用的Nuclei POC模版管理工具支持一键漏洞探测|渗透测试
一个好用的Nuclei POC模版管理工具支持一键漏洞探测|渗透测试 漏洞挖掘 渗透安全HackTwo 2024-12-09 16:00 0x01 工具介绍 Wavely是一个nuclei POC管理工具,支持模板的增删查改、请求响应包查看、并行扫描等功能,兼容MacOS、Windows和Linux系统。它采用全新的nuclei v3检测引擎,支持自定义DNSLOG服务器和多种模板导入方式,并提
继续阅读「漏洞复现」Mitel MiCollab 企业协作平台 任意文件读取漏洞(CVE-2024-41713)
「漏洞复现」Mitel MiCollab 企业协作平台 任意文件读取漏洞(CVE-2024-41713) 冷漠安全 冷漠安全 2024-12-09 13:40 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读X情报社区漏洞奖励计划收录扩大!提供本地环境再享额外20%奖金加成!
X情报社区漏洞奖励计划收录扩大!提供本地环境再享额外20%奖金加成! 乌鸦安全 2024-12-09 10:04 微步X情报社区漏洞奖励计划,收录扩大,高价收洞。 奖励计划 活动时间 2024/11/20-2024/12/31 奖励计划 活动亮点 0day收录范围扩大,不再受限于往期活动范围。 非0day开放收录,且新增以下两类收录: 新增收录二进制非0day收录:收录范围包括Windows、Li
继续阅读【 CVE-2024-38193 】Windows 0day漏洞已在野利用,PoC已发布
【 CVE-2024-38193 】Windows 0day漏洞已在野利用,PoC已发布 原创 骨哥说事 骨哥说事 2024-12-09 08:48 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 防走失:https://gugesay.com/ **不想错过任何消息?设置星标↓ ↓ ↓
继续阅读有PoC,Windows 0day漏洞CVE-2024-38193在野外被利用
有PoC,Windows 0day漏洞CVE-2024-38193在野外被利用 独眼情报 2024-12-09 06:02 一个关键的Use-After-Free(释放后使用)漏洞CVE-2024-38193,已在Windows驱动程序afd.sys中被发现。这个漏洞的CVSS评分为7.8,对Windows系统构成重大威胁,可能允许攻击者提升权限并执行任意代码。安全研究员Luca Ginex来自E
继续阅读DockerUI存在默认口令漏洞,可导致拉取镜像,管理等操作
DockerUI存在默认口令漏洞,可导致拉取镜像,管理等操作 原创 Mstir 星悦安全 2024-12-09 04:40 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 DockerUI是一款开源的、强大的、轻量级的Docker管理工具。DockerUI覆盖了 docker cli 命令行 95% 以上的命令功能,通过可视化的界面,即使是不熟悉docker命令的用户也可以非常方便的进行D
继续阅读无补丁,I-O Data路由器0Day漏洞被利用
无补丁,I-O Data路由器0Day漏洞被利用 天唯科技 天唯信息安全 2024-12-09 03:00 日本计算机紧急响应小组(CERT)警告称 ,黑客正在利用I-O Data路由器设备中的零日漏洞来修改设备设置、执行命令,甚至关闭防火墙。 I-O Data在其网站上发布的安全公告中承认确实存在三个零日漏洞,但目前暂无完整的修复补丁,预计将在2024年12月18日发布,因此在此之前用户将面临比
继续阅读重生之我在推特逛漏洞
重生之我在推特逛漏洞 jylove 神农Sec 2024-12-09 02:45 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关 原文链接:https://zone.huoxian.cn/d/2956 作者:jylove 0x1 前言 今天刚好闲着没事,逛了一下推特,刚好看到一个漏洞有关Keyc
继续阅读【漏洞复现】某平台-Sc-Interview-search-sql注入漏洞
【漏洞复现】某平台-Sc-Interview-search-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-09 02:16 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而
继续阅读X漏洞奖励计划收录扩大!高价收洞!(文末抽奖)
X漏洞奖励计划收录扩大!高价收洞!(文末抽奖) X情报社区 CKCsec安全研究院 2024-12-09 01:00 活动时间 2024/11/20-2024/12/31 活动亮点 1、0day收录范围扩大,不再受限于往期活动范围。 2、非0day开放收录,且新增以下两类收录: a.新增收录二进制非0day收录: 收录范围包括Windows、Linux、Chrome; b.新增收录公开时间在一年内
继续阅读「漏洞复现」圣乔ERP系统 DwrUtil SQL注入漏洞
「漏洞复现」圣乔ERP系统 DwrUtil SQL注入漏洞 冷漠安全 冷漠安全 2024-12-08 12:21 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
继续阅读【大量存在】用友NC yerfile_down_bill存在SQL注入漏洞
【大量存在】用友NC yerfile_down_bill存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-12-07 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **用友NC是用友网络科技股份有限公司开发的一款企业级管理软件,旨在为企业提供全方位的管理服务。主要面向大型企业和集团公司,提供全面的财务和业务管理解决
继续阅读Windows 7 至 Windows 11 中存在新的 0 Day NTLM 哈希泄露漏洞
Windows 7 至 Windows 11 中存在新的 0 Day NTLM 哈希泄露漏洞 原创 很近也很远 网络研究观 2024-12-07 10:02 0patch 的研究人员发现了一个零日漏洞,该漏洞影响所有受支持的 Windows Workstation 和 Server 版本,从 Windows 7 和 Server 2008 R2 到最新的 Windows 11(v24H2)和 Se
继续阅读「漏洞复现」EasyCVR-视频管理平台 taillog 任意文件读取漏洞
「漏洞复现」EasyCVR-视频管理平台 taillog 任意文件读取漏洞 冷漠安全 冷漠安全 2024-12-07 09:53 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无
继续阅读Docker0day,影响近4000台主机
Docker0day,影响近4000台主机 hongzh0 Hacking Group 0434 2024-12-07 07:06 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任 系统描述 DockerUI 是一个基于 Docker API 的开源 web 应用程序,它提供了大部分等同于 Doc
继续阅读Windows 中存在严重0day,可导致用户凭据泄露
Windows 中存在严重0day,可导致用户凭据泄露 独眼情报 2024-12-07 06:15 我们的研究人员发现了一个影响从Windows 7和Server 2008 R2到最新的Windows 11 v24H2和Server 2022的所有Windows工作站和服务器版本的安全漏洞。攻击者只需让用户在Windows资源管理器中查看恶意文件,就可以获取用户的NTLM凭据 – 例如
继续阅读高质量企业+eduSRC漏洞挖掘实战资料分享
高质量企业+eduSRC漏洞挖掘实战资料分享 原创 Mstir 星悦安全 2024-12-07 05:54 点击上方 蓝字 关注我们 并设为 星标 part 01 一、SRC挖掘 BETTER 1.平时挖掘SRC的时候,时常感觉挖不到洞?其实应该是思路没走正,走正了思路,方能快速挖掘出多种不同类型的漏洞。其实现在SRC挖掘里,常规漏洞还是占比较大的比例,但逻辑漏洞,从几年前开始就大展拳脚了,现在也
继续阅读新的Windows 0day漏洞:攻击者几乎无需用户交互即可窃取 NTLM 凭据
新的Windows 0day漏洞:攻击者几乎无需用户交互即可窃取 NTLM 凭据 会杀毒的单反狗 军哥网络安全读报 2024-12-07 01:01 导读 0patch 的研究人员警告说,从 Windows 7 到最新的 Windows 11 2 4H2 、 Windows Server 2022 的所有 Windows Workstation 和 Server 版本都受到该 0day 漏洞影响。
继续阅读【漏洞复现】EasyCVR视频管理平台taillog存在任意文件读取漏洞
【漏洞复现】EasyCVR视频管理平台taillog存在任意文件读取漏洞 xiachuchunmo 银遁安全团队 2024-12-06 23:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **EasyCVR视频管理平台,作为TSINGSEE青犀视频旗下的一款重要产品,是一款功能强大的视频融合+AI智能分析网关平台。平台基于分布式、负载均衡等
继续阅读「漏洞复现」易宝OA GetUDEFStreamID SQL注入漏洞
「漏洞复现」易宝OA GetUDEFStreamID SQL注入漏洞 冷漠安全 冷漠安全 2024-12-06 11:52 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需
继续阅读【安全圈】I-O Data路由器0Day漏洞被利用,无修复补丁
【安全圈】I-O Data路由器0Day漏洞被利用,无修复补丁 安全圈 2024-12-06 11:00 关键词 安全漏洞 日本计算机紧急响应小组(CERT)警告称 ,黑客正在利用I-O Data路由器设备中的零日漏洞来修改设备设置、执行命令,甚至关闭防火墙。 I-O Data在其网站上发布的安全公告中承认确实存在三个零日漏洞,但目前暂无完整的修复补丁,预计将在2024年12月18日发布,因此在此
继续阅读微步协助统信修复提权漏洞
微步协助统信修复提权漏洞 原创 微步情报局 微步在线研究响应中心 2024-12-06 09:06 漏洞概况 统信 UOS 是统信软件技术有限公司开发的国产化操作系统发行版,结合国内用户的需求进行了深度定制和优化。它支持多种处理器架构(包括x86、ARM等),兼容各种硬件平台。 近日,微步情报局发现统信桌面专业版的系统管理器deepin-system-monitor存在提权漏洞(https://x
继续阅读【漏洞通告】Mitel MiCollab身份验证绕过漏洞(CVE-2024-41713)
【漏洞通告】Mitel MiCollab身份验证绕过漏洞(CVE-2024-41713) 启明星辰安全简讯 2024-12-06 09:02 一、漏洞概述 漏洞名称 Mitel MiCollab身份验证绕过漏洞 CVE ID CVE-2024-41713 漏洞类型 路径遍历 发现时间 2024-12-06 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互
继续阅读【漏洞复现】某平台-taillog-readfile任意文件读取漏洞
【漏洞复现】某平台-taillog-readfile任意文件读取漏洞 原创 南极熊 SCA御盾 2024-12-06 03:17 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的
继续阅读黑客利用 MOONSHINE 漏洞和 DarkNimbus 后门攻击
黑客利用 MOONSHINE 漏洞和 DarkNimbus 后门攻击 会杀毒的单反狗 军哥网络安全读报 2024-12-06 01:00 导读 趋势科技在一篇分析报告中表示: “Earth Minotaur 使用 MOONSHINE 将 DarkNimbus 后门传送到 Android 和 Windows 设备,使其成为跨平台威胁。” “MOONSHINE 利用基于 Chromium 的浏览器和应
继续阅读【0day】圣乔ERP系统uploadFile存在任意文件上传漏洞
【0day】圣乔ERP系统uploadFile存在任意文件上传漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-05 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **杭州圣乔科技有限公司成立于2007年02月27日,注册地位于浙江省杭州市拱墅区和睦路555号201幢116室,法定代表人为张鹏。经营范围包括计算机软硬
继续阅读「漏洞复现」用友NC yerfile/down SQL注入漏洞(XVE-2024-34596)
「漏洞复现」用友NC yerfile/down SQL注入漏洞(XVE-2024-34596) 冷漠安全 冷漠安全 2024-12-05 21:28 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用
继续阅读