Pega Infinity – 绕过身份验证[CVE-2021-27651]
Pega Infinity – 绕过身份验证[CVE-2021-27651] _7ingLian 偏远酒馆 2025-04-24 03:36 CVE-2021-27651 免责声明 我们发布的内容仅作为测试和学习交流,禁止用于未授权场景。任何人不得将其用于非法目的。我方对于阅读本文技术引起的法律责任概不负责。 —>漏洞描述 Pega Infinity 版本8.2.1到
继续阅读标签: EXP
渗透测试 | 实战swagger框架漏洞
渗透测试 | 实战swagger框架漏洞 原创 神农Sec 神农Sec 2025-04-24 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 0x1 加密的Swagger 首先一般大家分享Swa
继续阅读渗透测试实战:FastJSON漏洞如何在黑盒场景中精准触发?
渗透测试实战:FastJSON漏洞如何在黑盒场景中精准触发? 原创 火力猫 季升安全 2025-04-24 00:15 🧨 FastJSON 渗透实战指南 1️⃣ 什么是 FastJSON? FastJSON 是阿里巴巴开源的一款高性能 Java JSON 解析库,用于将 JSON 字符串转换为 Java 对象,或将 Java 对象序列化为 JSON。 👉 开发者最常用的方法 : Object o
继续阅读Windows CVE-2025-24054 漏洞解析:下载即泄 NTLM 哈希,Pass-the-Hash 风险剧增!
Windows CVE-2025-24054 漏洞解析:下载即泄 NTLM 哈希,Pass-the-Hash 风险剧增! 原创 Hankzheng 技术修道场 2025-04-23 23:59 美国网络安全与基础设施安全局 (CISA) 近日将 Windows NTLM 漏洞 CVE-2025-24054 (CVSS 6.5) 加入其“已知被利用漏洞 (KEV)”清单,证实该漏洞正在野外被积极利
继续阅读Cleo Synchronization接口任意文件读取漏洞CVE-2024-50623 附POC
Cleo Synchronization接口任意文件读取漏洞CVE-2024-50623 附POC 2025-4-23更新 南风漏洞复现文库 2025-04-23 15:33 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Cleo 简
继续阅读HessianServlet、HessianServiceExporter场景下的Payload
HessianServlet、HessianServiceExporter场景下的Payload 原创 guchangan1 L0una 2025-04-23 11:28 HessianServlet、HessianServiceExporter场景下的Payload 首发先知社区 Hession漏洞利用现状 目前 Java 开发框架里使用 Hessian 去做面向对象的 RPC 传输,大部分都是
继续阅读Active! mail 中的RCE 0day漏洞用于攻击位于日本的机构
Active! mail 中的RCE 0day漏洞用于攻击位于日本的机构 Bill Toulas 代码卫士 2025-04-23 10:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Active! mail 中存在一个远程代码执行 (RCE) 0day 漏洞,现已被用于攻击位于日本的大型组织机构。 Active! mail 最初是由 TransWARE 开发的一款基于 web 的邮件
继续阅读内存利用:迟来的blindless与逃不掉的exit漏洞
内存利用:迟来的blindless与逃不掉的exit漏洞 N1nEmAn 蚁景网络安全 2025-04-23 09:35 0x01 前言 在计算机安全领域,漏洞的危险性往往与其广泛性和潜在攻击方式密切相关。今天,我们将深入探讨一个异常危险的漏洞,它存在于程序退出时执行的常见函数”exit”中。无论是在操作系统还是应用程序中,”exit”都是一个普遍存
继续阅读绿盟科技披露2024年报,营收增长超40%,亏损收窄;漏洞研究新突破:利用ChatGPT快速创建利用代码 | 牛览
绿盟科技披露2024年报,营收增长超40%,亏损收窄;漏洞研究新突破:利用ChatGPT快速创建利用代码 | 牛览 安全牛 2025-04-23 08:49 新闻速览 •英国Ofcom禁止”全球标题码”租赁,遏制移动网络犯罪 •漏洞研究新突破:利用ChatGPT快速创建利用代码 •从边缘设备入侵:黑客新战术瞄准中小企业网络薄弱环节 •美国德州阿比林市遭遇网络攻击,多个系统被
继续阅读Funadmin v5.0.2 存在SQL注入漏洞
Funadmin v5.0.2 存在SQL注入漏洞 王桀 星悦安全 2025-04-23 08:23 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 █ 该文章来自楚风安全-王桀师傅 █ FunAdmin 基于thinkphp8.X +Layui2.9.*+requirejs开发权限(RBAC)管理框架,框架中集成了权限管理、模块管理、插件管理、后台支持多主题切换、配置管理、会员管理等
继续阅读【漏洞预警】:紧急!H3C GR-3000AX代码执行漏洞或成内网渗透跳板
【漏洞预警】:紧急!H3C GR-3000AX代码执行漏洞或成内网渗透跳板 原创 52 易云安全应急响应中心 2025-04-23 07:35 点击上方蓝字 关注我们 漏洞预警 1、漏洞描述 近日,易云科技监测到一则H3C GR-3000AX远程代码执行漏洞。 H3C GR-3000AX 是新华三(H3C)推出的一款高性能企业级 Wi-Fi 6 无线路由器。产品 支持多场景组网, 支持 Wi-Fi
继续阅读无需交互即可攻破?CVE-2025-24054正被利用绕过Windows身份验证”
无需交互即可攻破?CVE-2025-24054正被利用绕过Windows身份验证” 原创 骨哥说事 骨哥说事 2025-04-23 06:48 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/419
继续阅读提示词宝库!NucleiPrompts 助你轻松玩转 Nuclei AI智能漏洞扫描
提示词宝库!NucleiPrompts 助你轻松玩转 Nuclei AI智能漏洞扫描 原创 AI安全工坊 AI安全工坊 2025-04-23 05:16 引言:Nuclei AI智能化扫描! Nuclei 是一款超好用的漏洞扫描工具,而 NucleiPrompts.com 则像它的“金牌助手”,通过分享现成的提示词(Prompts),让扫描漏洞变得像点外卖一样简单! 想知道怎么用一句话找到网站隐患
继续阅读针对Nacos漏洞猎杀的各种骚姿势
针对Nacos漏洞猎杀的各种骚姿势 原创 神农Sec 神农Sec 2025-04-23 01:03 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠券)。 0x1 相关漏洞资产收集 像比如师傅们不知道怎么找naco
继续阅读【PHP代码审计】ZZCMS 2019多个漏洞(附POC)
【PHP代码审计】ZZCMS 2019多个漏洞(附POC) 原创 WL Rot5pider安全团队 2025-04-23 00:41 引 言 zzcms,站长招商网cms,适用于招商代理型的行业网站,可用于医药招商网站程序源码,服装招商网站程序源码,化妆品招商网站的程序源码等。 为啥审这个CMS,洞多(类型也多) 官网最新版下载地址:http://www.zzcms.net
继续阅读CVE-2025-21204:Windows更新堆栈权限提升漏洞 附POC及漏洞分析
CVE-2025-21204:Windows更新堆栈权限提升漏洞 附POC及漏洞分析 原创 NightTeam 夜组OSINT 2025-04-23 00:01 前言 安全研究员 Elli Shlomo 公布了CVE-2025-21204 的技术细节和概念验证漏洞代码,这是 Windows 更新堆栈中的一个严重本地权限提升漏洞,利用符号链接和目录连接绕过标准访问控制并以 SYSTEM 级权限执行任
继续阅读【漏洞预警】Open WebUI 0.5.16 SSRF漏洞(CVE-2025-29446)
【漏洞预警】Open WebUI 0.5.16 SSRF漏洞(CVE-2025-29446) sec0nd安全 2025-04-22 15:06 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Open WebUI 是一个可扩展、功能丰富且用户友好的自托管 AI 平台,旨在完全离线运行。它支持各种LLM运行器,如 Ollama 和兼容 OpenAI 的 API,内置 RAG 推理引擎,
继续阅读泛微移动管理平台E-mobile error接口存在远程命令执行漏洞 附POC
泛微移动管理平台E-mobile error接口存在远程命令执行漏洞 附POC 2025-4-22更新 南风漏洞复现文库 2025-04-22 14:54 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 泛微移动管理平台简介 微信公众号
继续阅读内存中的幽灵:Linux系统最致命安全漏洞揭秘
内存中的幽灵:Linux系统最致命安全漏洞揭秘 原创 VlangCN HW安全之路 2025-04-22 12:24 在一个普通的星期二凌晨,某全球金融科技公司的高级安全分析师盯着终端屏幕,难以置信。一场大规模数据泄露刚刚发生——SSL证书、会话令牌,甚至私钥,全部被悄无声息地窃取。罪魁祸首?OpenSSL中名为Heartbleed的漏洞,简单的缓冲区过度读取允许攻击者直接从服务器的堆内存中获取数
继续阅读8天,这个被微软认为“低可利用性”的漏洞即遭利用
8天,这个被微软认为“低可利用性”的漏洞即遭利用 Iain Thomson 代码卫士 2025-04-22 10:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 3月补丁星期二,微软发布安全更新。就在8天后,网络犯罪分子已经武器化其中一个漏洞,攻击位于波兰和罗马尼亚的政府和私营行业。 该漏洞的编号为CVE-2025-24054,是一个NTLM 哈希泄露漏洞,被微软判定为“不太可能”遭利
继续阅读Web漏洞挖掘指南 -SSRF服务器端请求伪造
Web漏洞挖掘指南 -SSRF服务器端请求伪造 迪哥讲事 2025-04-22 09:30 一、漏洞原理及触发场景 0x1 web服务器经常需要从别的服务器获取数据,比如文件载入、图片拉取、图片识别等功能,如果获取数据的服务器地址可控,攻击者就可以通过web服务器自定义向别的服务器发出请求。因为web服务器常搭建在DMZ区域,因此常被攻击者当作跳板,向内网服务器发出请求。 0x2 常见的ssrf漏
继续阅读Windows高危提权漏洞CVE-2025-21204曝光,千万用户需立即修复
Windows高危提权漏洞CVE-2025-21204曝光,千万用户需立即修复 原创 Z0安全 Z0安全 2025-04-22 06:47 近日,微软Windows系统曝出高危本地提权漏洞CVE-2025-21204,攻击者可利用该漏洞通过简单的符号链接攻击,在未经授权的情况下直接获取系统最高权限(SYSTEM权限),威胁用户数据安全甚至控制整个操作系统。以下是漏洞详情与防护指南: 一、漏洞核
继续阅读Cellebrite 零日漏洞攻击塞尔维亚学生活动人士的手机
Cellebrite 零日漏洞攻击塞尔维亚学生活动人士的手机 Ots安全 2025-04-22 01:09 国际特赦组织安全实验室与国际特赦组织欧洲区域办事处合作,发现了一起新的案件,该案件中有人滥用 Cellebrite 产品侵入了塞尔维亚一名青年活动家的手机。此次攻击与我们此前在 2024 年 12 月发布的报告《数字监狱》中记录的攻击形式非常相似。这一新案例进一步证明,尽管塞尔维亚国内外普遍
继续阅读记一次Druid Monitor漏洞日常渗透
记一次Druid Monitor漏洞日常渗透 原创 神农Sec 神农Sec 2025-04-22 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 重点知识点 渗透测试 fofa检索druid漏洞
继续阅读Kimsuky APT组织利用 BlueKeep RDP 漏洞对韩国日本发起攻击
Kimsuky APT组织利用 BlueKeep RDP 漏洞对韩国日本发起攻击 会杀毒的单反狗 军哥网络安全读报 2025-04-22 01:00 导读 研究人员发现与曹县关联的 APT 组织 Kimsuky 的攻击活动,该组织利用已修补的 Microsoft 远程桌面服务漏洞来获取初始访问权限。 在调查一起安全漏洞时,韩国安博士实验室安全情报中心 (ASEC) 的研究人员发现了与朝鲜有关联的组
继续阅读实战|小程序渗透记录 通过细节挖掘漏洞的艺术
实战|小程序渗透记录 通过细节挖掘漏洞的艺术 一天要喝八杯水 乌雲安全 2025-04-22 00:50 原文于:https://forum.butian.net/share/4229 原文作者:一天要喝八杯水 如侵权请联系删除。 近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习! 免责声明:本文仅用于网络安全相关知识分享,请严格遵守网络安全相
继续阅读【SRC】某选课小程序任意用户登录漏洞深度剖析
【SRC】某选课小程序任意用户登录漏洞深度剖析 原创 ashui Rot5pider安全团队 2025-04-22 00:35 某小程序任意用户登录漏洞深度剖析 一、漏洞场景复现 (一)漏洞复现 目标系统 :某金融类小程序(版本V2.3.1) 1. 测试工具 :Burp Suite Pro v1.8.4 + WechatDevTools v1.18.0 关键参数 : encryptedData :
继续阅读Vite 任意文件读取漏洞(CVE-2025-30208)
Vite 任意文件读取漏洞(CVE-2025-30208) HK安全小屋 2025-04-21 16:17 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: CVE-2025-30208 是 Vite(一个前端开发工具提供商)在特定
继续阅读用 AI 自动化渗透测试,PentAGI 打造全新AI安全测试 助力快速发现漏洞与安全隐患|漏洞探测
用 AI 自动化渗透测试,PentAGI 打造全新AI安全测试 助力快速发现漏洞与安全隐患|漏洞探测 原创 CeBain 渗透安全HackTwo 2025-04-21 16:03 0x01 工具介绍 网络安全攻防战已进入白热化阶段,传统手动测试效率低下。PentAGI的横空出世,正在用AGI技术重构安全测试的底层逻辑。VXControl 团队打造的开源工具,凭借自动化、智能化的设计,为安全测试注入
继续阅读