让Druid未授权访问漏洞危害最大化案例和利用工具|挖洞技巧
让Druid未授权访问漏洞危害最大化案例和利用工具|挖洞技巧 漏洞挖掘投稿 渗透安全HackTwo 2025-02-16 16:02 0x01 前言 Druid是阿里开发的数据库连接池,广泛用于监控和数据管理。常见的安全漏洞主要有两种:未授权访问和弱口令问题。若发现Druid未授权访问,利用druid_sessions工具快速获取 Alibaba Druid 的相关参数(sessi
继续阅读标签: 1day
EDUSRC漏洞挖掘技巧汇总+信息收集各种姿势
EDUSRC漏洞挖掘技巧汇总+信息收集各种姿势 sec0nd安全 2025-02-15 12:49 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 浅谈 哈喽哇,师傅们! 最近在挖教育类edudrc漏洞,然后最近在研究大学都有的站点功能——校园统一身份认证登录。这个站点每个学校
继续阅读自动化扫描利器,指纹识别更精准,漏洞扫描更全面
自动化扫描利器,指纹识别更精准,漏洞扫描更全面 CRlife 无影安全实验室 2025-02-15 11:15 免责声明: 本篇文章仅用于技术交流, 请勿利用文章内的相关技术从事非法测试 , 由于传播、利用本公众号无影安全 实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即
继续阅读浪漫来袭,单个漏洞达3w+,为你的恋爱基金添砖加瓦!
浪漫来袭,单个漏洞达3w+,为你的恋爱基金添砖加瓦! 原创 邀您参与专测的 京东安全应急响应中心 2025-02-14 02:31 账号专项众测活动 LOVE 3倍奖励为你的恋爱基金添砖加瓦 LOVE 02/14 02/28 哪吒重生,脚踏风火轮, 手拿乾坤圈,逆天改命! JSRC奉上高额漏洞奖励, 成为你爱情路上的“神兵利器”, 助你火力全开,追爱无忧!💘🔥 账号众测 专项活动 活动时间 202
继续阅读郑州时空-TMS运输管理系统 GetDataBase 信息泄露漏洞
郑州时空-TMS运输管理系统 GetDataBase 信息泄露漏洞 Superhero nday POC 2025-02-14 01:58 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读Z0SCAN一款基于Python3的主、被动扫描器|漏洞探测
Z0SCAN一款基于Python3的主、被动扫描器|漏洞探测 工具-Cavin小编 渗透安全HackTwo 2025-02-13 16:01 0x01 工具介绍 Z0SCAN是一个基于Python3的主、被动扫描器,旨在进行Web应用安全测试。它支持多种插件,包括SQL注入、XSS、文件上传、目录遍历等漏洞检测,并提供主动和被动扫描方式。Z0SCAN还包含一个MITM代理,用于拦截和分析HTTP/
继续阅读方正畅享全媒体新闻采编系统 imageProxy.do 任意文件读取漏洞
方正畅享全媒体新闻采编系统 imageProxy.do 任意文件读取漏洞 Superhero nday POC 2025-02-13 01:57 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会
继续阅读月子会所ERP管理云平台 GetData.ashx SQL注入漏洞
月子会所ERP管理云平台 GetData.ashx SQL注入漏洞 Superhero nday POC 2025-02-12 02:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读虹安Heimdall DLP数据泄漏防护系统 pushSetup.do SQL注入漏洞
虹安Heimdall DLP数据泄漏防护系统 pushSetup.do SQL注入漏洞 Superhero nday POC 2025-02-11 03:31 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及
继续阅读【0day】码支付系统存在前台SQL注入漏洞
【0day】码支付系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2025-02-10 03:44 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 码支付是基于php开发的一套新型聚合收款、聚合支付系统,是一款专业的聚合免签收款系统,无需对接其余平台,个码就可收款,灰常的方便快捷,集成实现三网免挂功能,无需挂繁琐的监控软件就可实现回调,更便捷的监控方式,更优的产品质量. Fofa指
继续阅读用友NC 漏洞分析–cartabletimeline存在SQL注入
用友NC 漏洞分析–cartabletimeline存在SQL注入 WLwl 神农Sec 2025-02-10 02:03 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/article/627 作者:WLwl 0x1
继续阅读[工具推荐]jeecgBoot漏洞利用工具
[工具推荐]jeecgBoot漏洞利用工具 原创 zzz 良月安全 2025-02-10 02:01 免责声明 本公众号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。 工具链接 https://github.com/7wkajk/
继续阅读记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧
记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧 漏洞挖掘投稿 渗透安全HackTwo 2025-02-09 16:01 0x01 前言 在对某SRC分发平台进行渗透测试时,发现其后台管理系统存在安全漏洞。通过分析前端源码,发现了一个潜在的任意文件读取漏洞,并成功利用该漏洞获取了服务器的敏感信息,最终实现了从任意文件读取到获取服务器权限的全过程。 现在只对常读和星标的公
继续阅读朗速ERP FileUploadApi.ashx 任意文件上传漏洞
朗速ERP FileUploadApi.ashx 任意文件上传漏洞 Superhero nday POC 2025-02-09 08:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读【0day】码支付系统存在前台任意文件读取漏洞
【0day】码支付系统存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2025-02-08 04:53 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 码支付是基于php开发的一套新型聚合收款、聚合支付系统,是一款专业的聚合免签收款系统,无需对接其余平台,个码就可收款,灰常的方便快捷,集成实现三网免挂功能,无需挂繁琐的监控软件就可实现回调,更便捷的监控方式,更优的产品质量. Fofa
继续阅读西联软件-移动门店管理系统 StreamToFile 任意文件上传漏洞
西联软件-移动门店管理系统 StreamToFile 任意文件上传漏洞 Superhero nday POC 2025-02-08 03:03 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读网神SecFox运维安全管理与审计系统 FastJson反序列化RCE漏洞
网神SecFox运维安全管理与审计系统 FastJson反序列化RCE漏洞 Superhero nday POC 2025-02-08 01:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们
继续阅读渗透测试 | 文件读取漏洞实战利用
渗透测试 | 文件读取漏洞实战利用 subjcw 神农Sec 2025-02-08 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/share/4017 作者:subjcw 0x1 Nginx配置文件利用 第一处文件读取
继续阅读赛诸葛数字化智能中台系统 login SQL注入漏洞
赛诸葛数字化智能中台系统 login SQL注入漏洞 Superhero nday POC 2025-02-07 06:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉。
继续阅读安科瑞环保用电监管云平台 GetEnterpriseInfoY SQL注入漏洞
安科瑞环保用电监管云平台 GetEnterpriseInfoY SQL注入漏洞 Superhero nday POC 2025-02-07 02:58 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读实战 | 微信小程序EDUSRC渗透漏洞复盘
实战 | 微信小程序EDUSRC渗透漏洞复盘 原创 神农Sec 神农Sec 2025-02-07 02:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 哈喽,师傅们这次又来给师傅们分享下最近的一个漏洞挖掘的一个过程,这次跟着一个师傅学习,然后自己动手去挖,也是学习到了不了
继续阅读Java反序列化漏洞 | Fastjson反序列化漏洞原理+漏洞复现
Java反序列化漏洞 | Fastjson反序列化漏洞原理+漏洞复现 原创 神农Sec 神农Sec 2025-01-31 01:03 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下
继续阅读漏洞挖掘 | 渗透测试之批量刷洞技巧
漏洞挖掘 | 渗透测试之批量刷洞技巧 soufaker 神农Sec 2025-01-26 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/share/582 作者:soufaker 0x1 简易自动挖掘漏洞环境搭建 一、
继续阅读博斯外贸管理软件V6.0 log/logined.jsp SQL注入漏洞
博斯外贸管理软件V6.0 log/logined.jsp SQL注入漏洞 Superhero Nday Poc 2025-01-25 17:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会
继续阅读友数聚 CPAS审计管理系统V4 getCurserIfAllowLogin SQL注入漏洞
友数聚 CPAS审计管理系统V4 getCurserIfAllowLogin SQL注入漏洞 Superhero nday POC 2025-01-25 10:26 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权
继续阅读友数聚 CPAS审计管理系统V4 downPlugs 任意文件读取漏洞
友数聚 CPAS审计管理系统V4 downPlugs 任意文件读取漏洞 Superhero nday POC 2025-01-25 09:50 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读内网扫描工具Fscan免杀版|漏洞扫描
内网扫描工具Fscan免杀版|漏洞扫描 漏洞挖掘 渗透安全HackTwo 2025-01-23 16:00 0x01 工具介绍 二开的 fscan 是基于原版内网扫描工具的优化版本,解决了主机存活输出乱序、端口扫描结果混乱等问题,支持 IP 和端口排序输出,更加直观和高效。此外,删除了一些冗余功能如 JSON 输出,并优化了命令行参数处理和日志记录,适配个人渗透习惯。 下载地址在末尾 0x02
继续阅读1Scan一键渗透扫描器|漏洞探测
1Scan一键渗透扫描器|漏洞探测 漏洞挖掘 渗透安全HackTwo 2025-01-21 16:00 0x01 工具介绍 1Scan 全平台一键渗透扫描器,只需输入目标(IP、URL、CIDR、ip.txt、ipc.txt、ipb.txt、url.txt),即可一键使用多种协议收集信息、网络密码爆破、高危1Day、Nday漏洞探测、一键GetShell等。 下载地址在末尾**** 0x02 功
继续阅读卓软计量业务管理平台 image.ashx 任意文件读取漏洞
卓软计量业务管理平台 image.ashx 任意文件读取漏洞 Superhero nday POC 2025-01-21 07:52 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章
继续阅读灵当CRM getMyAmbassador SQL注入漏洞
灵当CRM getMyAmbassador SQL注入漏洞 Superhero nday POC 2025-01-21 06:49 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并
继续阅读