工具 | exploitdb
工具 | exploitdb 浅安 浅安安全 2025-06-06 00:01 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 ExploitDB是一款轻量级用于抓取、展示和导出Exploit-DB中漏洞数据的工具。 0x01 功能说明 – CLI交互式操作体验,适合终端用户 自定义爬取页数(默认
继续阅读标签: EXP
Liferay icon.jsp接口存在跨站漏洞CVE-2025-4388 附POC
Liferay icon.jsp接口存在跨站漏洞CVE-2025-4388 附POC 2025-6-5更新 南风漏洞复现文库 2025-06-05 15:16 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Liferay简介 微信公众
继续阅读Smartded Meteobridg的template.cgi接口存在任意命令注入CVE-2025-4008 附POC
Smartded Meteobridg的template.cgi接口存在任意命令注入CVE-2025-4008 附POC 2025-6-5更新 南风漏洞复现文库 2025-06-05 15:16 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
继续阅读思科提醒注意严重的 ISE 和 CCP 漏洞
思科提醒注意严重的 ISE 和 CCP 漏洞 Sergiu Gatlan 代码卫士 2025-06-05 10:37 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科发布补丁,修复了位于身份服务引擎 (ISE) 和客户协作平台 (CCP) 解决方案中的、已存在公开利用代码的三个漏洞。 其中最严重的是位于思科ISE中的静态凭据漏洞CVE-2025-20286。ISE 是基于身份的策略执行软
继续阅读更新:改造模糊测试工具 | 系统0day安全-二进制漏洞攻防(第4期)
更新:改造模糊测试工具 | 系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-06-05 09:59 更新:第六章:改造模糊测试工具 6.1 模糊测试挖掘命令注入漏洞 https://www.kanxue.com/book-193-5395.htm 6.2 模糊测试挖掘命令注入实现 https://www.kanxue.com/book-193-5420.htm 二进制漏洞,作
继续阅读谷歌披露威胁组织攻击方式:伪造Salesforce数据加载器实施钓鱼攻击
谷歌披露威胁组织攻击方式:伪造Salesforce数据加载器实施钓鱼攻击 邑安科技 邑安全 2025-06-05 09:30 更多全球网络安全资讯尽在邑安全 谷歌近日披露了一个以经济利益为动机的威胁组织UNC6040的详细情况。该组织专门通过语音钓鱼(vishing)攻击入侵企业的Salesforce系统,实施大规模数据窃取和后续勒索活动。 冒充IT支持人员的社交工程攻击 谷歌威胁情报团队追踪发现
继续阅读【漏洞通告】DataEase远程代码执行漏洞安全风险通告
【漏洞通告】DataEase远程代码执行漏洞安全风险通告 嘉诚安全 2025-06-05 08:42 漏洞背景 近日,嘉诚安全 监测到 DataEase远程代码执行漏洞,漏洞编号为: CVE-2025-48999、CVE-2025-49001、CVE-2025-49002 。 DataEase是一款开源的数据分析平台,提供丰富的数据可视化和分析功能,帮助用户轻松地进行数据探索和决策支持。 鉴于漏洞
继续阅读【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001)
【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001) 长亭安全应急响应中心 2025-06-05 08:06 DataEase是一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 2025年6月, 互联网 公开 披露 DataEase 存在多个高危漏洞(CVE-2025-48999、CVE-2025
继续阅读创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测
创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-06-05 07:51 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实
继续阅读CVE-2025–4123 | Grafana SSRF和账户接管漏洞分析
CVE-2025–4123 | Grafana SSRF和账户接管漏洞分析 白帽子左一 白帽子左一 2025-06-05 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 摘要 开放重定向是指当一个网页应用程序接收一个URL参数并将用户重定向到该指定URL时,未对其进行验证的情况。 /redirect?url=ht
继续阅读【已复现】DataEase 远程代码执行漏洞(CVE-2025-49001、CVE-2025-49002)安全风险通告
【已复现】DataEase 远程代码执行漏洞(CVE-2025-49001、CVE-2025-49002)安全风险通告 奇安信 CERT 2025-06-05 03:43 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 DataEase 远程代码执行漏洞 漏洞编号 CVE-2025-49001、CVE-2025-49002 公开时间 2025-06-03 影响量级 万级 奇安信
继续阅读spring内存马-Interceptor构造
spring内存马-Interceptor构造 轩公子谈技术 2025-06-05 01:53 spring内存马-Interceptor构造 环境搭建 方便调试代码,创建一个自定义的 Interceptor筛选器 import org.springframework.web.bind.annotation.*; import org.springframework.web
继续阅读HVV护网行动 | 分享最近攻防演练HVV漏洞复盘
HVV护网行动 | 分享最近攻防演练HVV漏洞复盘 安小圈 2025-06-05 00:46 安小圈 第680期 – HW必备:50个应急响应常用命令速查手册一(实战收藏) HW必备:50个应急响应常用命令速查手册二(实战收藏) 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的
继续阅读最新xxl-job综合漏洞检测利用工具|漏洞探测
最新xxl-job综合漏洞检测利用工具|漏洞探测 pureqh 渗透安全HackTwo 2025-06-04 16:01 0x01 工具介绍 xxl-job-attack 是一个用于检测和利用 XXL-JOB 系统漏洞的综合工具。该工具可以检测默认口令、未授权的Hessian反序列化漏洞、Executor未授权命令执行漏洞和默认accessToken身份绕过等问题。它支持通过内存马(如冰蝎Fil
继续阅读Vul情报 | CVE-2025-4123 漏洞(附EXP)
Vul情报 | CVE-2025-4123 漏洞(附EXP) 渗透Xiao白帽 2025-06-04 14:34 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 Grafana是Grafana开源的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Promet
继续阅读【高危漏洞预警】Roundcube Webmail upload.php _from反序列化代码执行漏洞
【高危漏洞预警】Roundcube Webmail upload.php _from反序列化代码执行漏洞 cexlife 飓风网络安全 2025-06-04 14:24 漏洞描述: Roundcube Webmail是一个邮件服务器,CVE-2025-49113中,在1.5.10之前和低于1.6.11的1.6.x版本中,由于在program/actions/settings/upload.php文
继续阅读【新安全事件】vBulletin 远程代码执行漏洞(CVE-2025-48827)安全风险通告
【新安全事件】vBulletin 远程代码执行漏洞(CVE-2025-48827)安全风险通告 奇安信 CERT 2025-06-04 10:53 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 vBulletin 远程代码执行漏洞 漏洞编号 QVD-2025-21254,CVE-2025-48827 公开时间 2025-05-27 影响量级 万级 奇安信评级 高危 CVSS
继续阅读NPS之Socks流量分析以及未授权复现
NPS之Socks流量分析以及未授权复现 蚁景网安 2025-06-04 08:54 前言 因为想要写一个socks的流量算法去绕过安全设备,所以这里对NPS的流量特征总结一下,方便自己后期的魔改。 环境 ubuntu 16.04 vps server windows server 2012R2 clinet mkdir npscd npswget https://github.com/eh
继续阅读Nacos漏洞实战攻防
Nacos漏洞实战攻防 稻草人 玄武盾网络技术实验室 2025-06-04 08:16 nacos介绍 Nacos 开放的端口 资产收集 下面可以看到icon图标,除了开始我们上面的一种,下面还有好几个,可以点击ico图标进一步扩大信息收集面 针对fofa总结语法: app=”nacos” && port=”8848″ || icon
继续阅读谷歌紧急发布安卓安全更新,修复可导致权限提升的多项高危漏洞
谷歌紧急发布安卓安全更新,修复可导致权限提升的多项高危漏洞 邑安科技 邑安全 2025-06-04 08:10 更多全球网络安全资讯尽在邑安全 谷歌紧急发布面向安卓设备的全面安全更新,修复了多个可能导致权限提升和远程代码执行的高危漏洞。此次更新针对Arm、Imagination Technologies和高通等主要硬件厂商的关键缺陷,其中许多漏洞的CVE评级表明它们对全球安卓用户构成重大安全风险。
继续阅读联发科芯片漏洞:攻击者无需用户交互即可提权
联发科芯片漏洞:攻击者无需用户交互即可提权 邑安科技 邑安全 2025-06-04 08:10 更多全球网络安全资讯尽在邑安全 联发科(MediaTek)智能手机、平板电脑和物联网芯片组中存在的多个高危安全漏洞,可能允许攻击者在无需用户交互的情况下提升权限并破坏设备安全。 漏洞概况 根据中国台湾芯片制造商发布的2025年6月产品安全公告,共披露了7个通用漏洞披露(CVE),按照CVSS v3.1标
继续阅读【漏洞通告】Google Chrome V8引擎越界读写漏洞(CVE-2025-5419)
【漏洞通告】Google Chrome V8引擎越界读写漏洞(CVE-2025-5419) 启明星辰安全简讯 2025-06-04 07:24 一、漏洞概述 漏洞名称 Google Chrome V8引擎越界读写漏洞 CVE ID CVE-2025-5419 漏洞类型 越界读写 发现时间 2025-06-04 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 不需要 利用难度 低 用户交
继续阅读CVE-2025-48827:vbulletin代码执行POC
CVE-2025-48827:vbulletin代码执行POC z1 Z1sec 2025-06-04 06:32 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! vBulletin中的关键未经身份验证的API访问 POC详细:关
继续阅读第125篇:蓝队溯源之burpsuite、zap、AWVS、xray扫描器反制方法与复现
第125篇:蓝队溯源之burpsuite、zap、AWVS、xray扫描器反制方法与复现 猫鼠信安 2025-06-04 06:08 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。
继续阅读CVE-2024-47575 漏洞分析及三种利用方式
CVE-2024-47575 漏洞分析及三种利用方式 原创 p1Kk 奇安信天工实验室 2025-06-04 03:30 目 录 一、前 言 二、FGFM 三、漏洞利用方式一 四、漏洞利用方式二 五、漏洞利用方式三 六、总 结 一 前 言 2024年10月23日,Fortinet官方发布了针对CVE-2024-47575的安全公告: A missing authentication for
继续阅读谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 | 顶级大模型向警方举报用户!AI告密排行榜出炉
谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 | 顶级大模型向警方举报用户!AI告密排行榜出炉 e安在线 e安在线 2025-06-04 03:20 谷歌Chrome零日漏洞遭广泛利用,可执行任意代码 谷歌在确认攻击者正在广泛利用一个关键零日漏洞(zero-day vulnerability)后,紧急发布了Chrome安全更新。该漏洞编号为CVE-2025-5419,攻击者可通过Chrome
继续阅读【src】SRC漏洞挖掘信息收集与挖掘技巧
【src】SRC漏洞挖掘信息收集与挖掘技巧 rggb 神农Sec 2025-06-04 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 文章作者:rggb 文章来源: https://www.f
继续阅读基于 ViewState 反序列化漏洞,通过 Sharp4ViewStateShell 执行命令实现权限维持
基于 ViewState 反序列化漏洞,通过 Sharp4ViewStateShell 执行命令实现权限维持 原创 专攻.NET安全的 dotNet安全矩阵 2025-06-04 00:23 在红队中持久化访问权限是关键环节之一,Sharp4ViewStateShell.exe 是一款专门为.NET Web站点设计的权限维持工具,其核心思想是通过配置自定义的 MachineKey ,结合 .NE
继续阅读天擎终端安全管理系统getsimilarlist存在SQL注入漏洞
天擎终端安全管理系统getsimilarlist存在SQL注入漏洞 原创 Enginge Enginge 2025-06-03 13:55 人皆知有用之用,而莫知无用之用也。——《庄子》 漏洞详情: 天擎终端安全管理系统getsimilarlist存在SQL注入漏洞,攻击者可通过此漏洞获取敏感信息。会导致数据库敏感信息泄露和重要数据被篡改等情况。 Query: banner="QiAnX
继续阅读