某捷未授权访问漏洞
某捷未授权访问漏洞 原创 海底天上月 海底天上月 2024-01-07 12:51 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 海底生残月 “ 设为星标 ”, 否则可能就看不到了啦 ! 0x01 漏洞描述 锐捷网络
继续阅读标签: POC
深xx日志审计rce
深xx日志审计rce 摸鱼sec 摸鱼Sec 2024-01-07 10:34 漏洞已经给各位师傅了,看不懂的师傅可以在知识星球中拿到详细poc。
继续阅读用友CRM存在日志信息泄露-附上POC
用友CRM存在日志信息泄露-附上POC 原创 漏洞挖掘 渗透安全HackTwo 2024-01-07 10:28 0x01 产品简介 CRM首先是一种管理理念,核心是将企业的客户作为企业最重要的资源,通过完善的客户服务和深入的客户分析来满足客户的需求,在向客户不断提供最大价值的同时,实现企业的价值,实现“双赢” 。 TIPS: 批量检测POC在末尾领取 今日星球新增1day/0day未公开漏洞-公
继续阅读天X信TOPSEC Cookie 远程命令执行漏洞
天X信TOPSEC Cookie 远程命令执行漏洞 不秃头的安全 不秃头的安全 2024-01-07 10:20 天X信TOPSEC Cookie 远程命令执行漏洞 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。 由于微信公众号推送机制改变了,快来 星标不再迷路,谢谢大家! 漏洞详情:**** 天融信TOPSEC解决方案包括综合
继续阅读【0day】全^程^云*OA之未授权访问+SQL注入
【0day】全^程^云*OA之未授权访问+SQL注入 网络安全007 WIN哥学安全 2024-01-06 21:35 师傅们,我又来送漏洞福利了,最近在复现某云的一些漏洞,经过不断的挖掘,终于找到了漏洞所在之处…… 老样子,师傅们如果有用到该平台的漏洞,要记得及时找厂商进行修复以及做好防护策略,这样子就可以预防一下啦。 一、资产 zoomeye查询语法:"ima
继续阅读全程云OA userIdList存在SQL注入漏洞
全程云OA userIdList存在SQL注入漏洞 小白菜安全 小白菜安全 2024-01-06 19:33 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围 漏洞复现
继续阅读某网盘逻辑缺陷GetShell0day
某网盘逻辑缺陷GetShell0day 青山 进击安全 2024-01-06 16:52 01 指纹 本篇文章为青山师傅代审实战案例分享 佬的指纹:”assets/picture/header-mobile.png” 我的指纹:title=”分享赚钱,让资源有价值!” 02 逻辑缺陷_文件上传 漏洞位置:public/server/index.php
继续阅读CVE-2024-21633 – ” Apktool 中的任意文件写入漏洞”
CVE-2024-21633 – ” Apktool 中的任意文件写入漏洞” Ots安全 2024-01-06 16:45 CVE-2024-21633 是一个由 Apktool 引发的安全漏洞,该漏洞被识别为 CVE 标识符,CVSS 评分为 7.8。这个漏洞主要涉及到 Apktool 在解码过程中处理资源文件的方法,特别是当资源文件的名称被更改为可能导致路径
继续阅读网康应用安全网关(NS-ASG) SQL注入漏洞
网康应用安全网关(NS-ASG) SQL注入漏洞 原创 漏洞挖掘 渗透安全HackTwo 2024-01-06 10:53 0x01 产品简介 网康科技的NS-ASG应用安全网关是一款软硬件一体化的产品,集成了SSL和IPSec,旨在保障业务访问的安全性,适配所有移动终端,提供多种链路均衡和选择技术,支持多种认证方式灵活组合,以及内置短信认证、LDAP令牌、USB KEY等多达13种认证方式 。
继续阅读某蝶多接口任意文件读取漏洞
某蝶多接口任意文件读取漏洞 原创 海底天上月 海底天上月 2024-01-06 09:19 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 海底生残月 “ 设为星标 ”, 否则可能就看不到了啦 ! 0x01 漏洞描述
继续阅读POC管理和漏洞扫描集成化工具
POC管理和漏洞扫描集成化工具 黑白之道 2024-01-06 08:40 oday 简介 本工具是采用javafx编写,使用sqllite进行poc储存的poc管理和漏洞扫描集成化工具。可以可视化添加POC和指纹进行POC管理和漏洞扫描功能,包含POC管理、漏洞扫描、指纹识别、指纹库等模块。 GitHub 地址:https://github.com/Janhsu/oday 功能显示效果 POC管
继续阅读【漏洞复现】睿因科技-wavlink-路由器-多处前台RCE
【漏洞复现】睿因科技-wavlink-路由器-多处前台RCE 原创 rain 知黑守白 2024-01-06 08:25 免责声明 此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们! 漏洞概述 睿因(wavlink)路由器,cgi-bin下的多处接口存在命令执行漏洞,允许
继续阅读漏洞预警 | DataX-Web命令注入漏洞
漏洞预警 | DataX-Web命令注入漏洞 浅安 浅安安全 2024-01-06 08:04 0x00 漏洞编号 – # CVE-2023-7116 0x01 危险等级 – 高危 0x02 漏洞概述 DataX Web是在DataX之上开发的分布式数据同步工具,提供简单易用的 操作界面,降低用户使用DataX的学习成本,缩短任务配置时间,避免配置过程中出错。 0x03 漏
继续阅读【漏洞复现】天融信TOPSEC Cookie 远程命令执行
【漏洞复现】天融信TOPSEC Cookie 远程命令执行 原创 rain 知黑守白 2024-01-04 00:01 免责声明 此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们! 漏洞概述 天融信TOPSEC解决方案包括综合管理系统,各类安全产品如防火墙、VPN、安全网
继续阅读【漏洞复现】天融信TOPSEC static_convert 远程命令执行
【漏洞复现】天融信TOPSEC static_convert 远程命令执行 原创 rain 知黑守白 2024-01-04 00:01 免责声明 此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们! 漏洞概述 天融信TOPSEC Static_Convert存在严重的远程命
继续阅读SSCTF-pwn450 win kernel 漏洞分析 (三)
SSCTF-pwn450 win kernel 漏洞分析 (三) 原创 3bytes 3072 2024-01-03 22:40 一 前言 之前没有调试过内核的漏洞,以这道题目来入个门,发现其实除了一些内核结构体之外和用户态的分析也没有太大的区别,顺便在这里总结一种很方便的在内核态调试用户态程序的方法 二 内核态和用户态调试丝滑转换 双机调试这里就不介绍了,设置个串口就行了,下面讲讲让windbg
继续阅读【已复现】Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)安全风险通告
【已复现】Apache OFBiz 远程代码执行漏洞(CVE-2023-51467)安全风险通告 奇安信cert 代码卫士 2024-01-03 22:29 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache OFBiz 远程代码执行漏洞 漏洞编号 QVD-2023-48721,CVE-2023-51467 公开时间 2023-12-27 影响对象数量级 万级 奇安信
继续阅读【漏洞通告】Apache OFBiz 远程代码执行漏洞
【漏洞通告】Apache OFBiz 远程代码执行漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-01-03 18:02 01 漏洞概况 Apache OFBiz 存在代码注入漏洞,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Apache OFBiz 远程代码执行漏洞漏洞编号CVE编号CVE-2023-51467
继续阅读漏洞通告|Apache OFBiz远程代码执行漏洞(CVE-2023-51467)
漏洞通告|Apache OFBiz远程代码执行漏洞(CVE-2023-51467) 网络威胁数据联盟 2024-01-03 15:00 01 漏洞概况**** Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。 经过分析和研判,该漏洞利用难度低,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行groovy 代
继续阅读(0day)某友CRM系统存在逻辑漏洞(大量资产存在)
(0day)某友CRM系统存在逻辑漏洞(大量资产存在) WebSec 白安全组 2024-01-03 13:59 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! 01
继续阅读文件上传漏洞知识总结
文件上传漏洞知识总结 编码安全研究 2024-01-03 13:20 直接使用别人的靶场总感觉不太好,那么就干脆自己写一个自己的文件上传靶场吧。正好博客之前也没有单独总结过文件上传的知识点,那么就顺便水一篇文章,岂不是一举两得。当然关于文件上传 upload-labs 总结的比较全面了,非强迫症患者建议直接去刷 upload-labs ,本文很多核心代码也都是直接用了 upload-labs 的轮
继续阅读CVE-2023-50164 Apache Struts RCE 分析
CVE-2023-50164 Apache Struts RCE 分析 原创 chestnut 闲聊趣说 2024-01-03 13:00 基本信息 由于 Struts 框架在处理参数名称大小写方面的不一致性,导致未经身份验证的远程攻击者能够通过修改参数名称的大小写来利用目录遍历技术上传恶意文件到服务器的非预期位置,最终导致代码执行。 影响版本 2.0.0<= Struts <= 2.
继续阅读【漏洞复现】CVE-2023-49070
【漏洞复现】CVE-2023-49070 原创 fgz AI与网安 2023-12-31 06:45 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 福利:小编整理了大量电子书和护网常用工具,在文末免费获取。 01 — 漏洞名称 Apache-OFBiz xmlrp
继续阅读漏洞预警 | 网康NS-ASG应用安全网关源代码泄露漏洞【附POC】
漏洞预警 | 网康NS-ASG应用安全网关源代码泄露漏洞【附POC】 浅安 信安404 2023-12-30 16:06 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 网康应用安全网关(NS-ASG)是一款软硬件一体化、性能卓越、集SSL与IPSec于一体的应用安全接入产品。 0x03 漏洞详情 漏洞类型: 源代码泄露 影响: 获取敏感
继续阅读CVE-2023-51467RCE漏洞(附EXP)
CVE-2023-51467RCE漏洞(附EXP) 渗透Xiao白帽 2023-12-30 13:47 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apa
继续阅读【实战SRC】前端加密的用户名枚举漏洞怎么从低危变为中高危?
【实战SRC】前端加密的用户名枚举漏洞怎么从低危变为中高危? 原创 南极熊 SCA御盾 2023-12-30 10:36 双旦活动 2023/12/25-2024/1/1日 联合活动第二弹(SCA御盾+WebSec):(1)未加入星球的师傅,只需158元即可加入 SCA御盾+WebSec 星球与专属微信群,加入方式为微信公众号获取并添加任意一方星主后,付费后获得双方星球免费加入链接。(2)已在任
继续阅读【漏洞复现】(1day)铭飞mcms-shiro反序列化漏洞复现
【漏洞复现】(1day)铭飞mcms-shiro反序列化漏洞复现 南极熊 WK安全 2023-12-30 09:56 双旦活动 2023/12/25-2024/1/1日 联合活动第二弹(SCA御盾+WebSec):(1)未加入星球的师傅,只需158元即可加入 SCA御盾+WebSec 星球与专属微信群,加入方式为微信公众号获取并添加任意一方星主后,付费后获得双方星球免费加入链接。(2)已在任意一
继续阅读漏洞预警 | 网康NS-ASG应用安全网关源代码泄露漏洞
漏洞预警 | 网康NS-ASG应用安全网关源代码泄露漏洞 浅安 浅安安全 2023-12-30 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 网康应用安全网关(NS-ASG)是一款软硬件一体化、性能卓越、集SSL与IPSec于一体的应用安全接入产品。 0x03 漏洞详情 漏洞类型: 源代码泄露 影响: 获取敏感信息 简述:
继续阅读海康威视安全接入网关任意文件读取漏洞
海康威视安全接入网关任意文件读取漏洞 原创 安全透视镜 网络安全透视镜 2023-12-27 07:00 一、漏洞描述 海康威视安全接入网关存在任意文件读取漏洞,通过此漏洞攻击者可读取服务器上任意文件。 漏洞成因:该系统使用Jquery-1.7.2 , 该版本存在任意文件读取漏洞。除了海康威视,安博通应用网关也存在此漏洞 二、网络空间搜索引擎搜索 fofa查询 body="webui/j
继续阅读