标签: POC

虹安Heimdall DLP数据泄漏防护系统 pushSetup.do SQL注入漏洞

发布于 作者:

虹安Heimdall DLP数据泄漏防护系统 pushSetup.do SQL注入漏洞 Superhero nday POC 2025-02-11 03:31 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及

继续阅读

AnyDesk 漏洞PoC发布,利用该漏洞通过壁纸获取管理员权限

发布于 作者:

AnyDesk 漏洞PoC发布,利用该漏洞通过壁纸获取管理员权限 会杀毒的单反狗 军哥网络安全读报 2025-02-11 01:01 导读 流行的远程桌面软件 AnyDesk 最近披露了一个漏洞,编号为 CVE-2024-12754,该漏洞使本地攻击者能够利用对Windows 背景图像的处理来获取对敏感系统文件的未经授权的访问。 这可能会将他们的权限升级到管理级别,对系统安全构成重大威胁。 该漏洞

继续阅读

漏洞预警 | NetMizer日志管理系统远程命令执行漏洞

发布于 作者:

漏洞预警 | NetMizer日志管理系统远程命令执行漏洞 浅安 浅安安全 2025-02-11 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 NetMizer日志管理系统是一款可以记录流经设备的所有会话日志并将其传送到外部的管理中心上的系统。 0x03 漏洞详情 漏洞类型: 远程 命令 执行 影响: 执行任意代码 简述:

继续阅读

漏洞预警 | ZZCMS SQL 注入漏洞

发布于 作者:

漏洞预警 | ZZCMS SQL 注入漏洞 浅安 浅安安全 2025-02-11 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 ZZCMS是一款适用于招商代理型的行业网站。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: ZZCMS的/index.php接口存在SQL注入漏洞,未经身份验证的攻击者可

继续阅读

漏洞预警 | 金和OA任意文件读取漏洞

发布于 作者:

漏洞预警 | 金和OA任意文件读取漏洞 浅安 浅安安全 2025-02-11 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台、电子政务一体化平台、智慧电商平台等服务。 0x03 漏洞详情 漏洞类型: 任意文件读取 影

继续阅读

2024年度网络安全漏洞分析报告

发布于 作者:

2024年度网络安全漏洞分析报告 计算机与网络安全 2025-02-10 23:57 资料列表: https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ 会员进群和文件下载指南 随着信息技术的广泛应用,网络攻击的手段和技术层面越来越复杂,挑战企业和个人的安全防线的同时,也对社会的安全管理和意识提出了更高的要求。漏洞是网络防御的基础,深入了解漏洞本质、追踪其演变态势并采取

继续阅读

经典漏洞复现:CrossFire老版本缓冲区溢出漏洞GetShell全解析

发布于 作者:

经典漏洞复现:CrossFire老版本缓冲区溢出漏洞GetShell全解析 原创 Z1eaf 泷羽Sec-Z1eaf 2025-02-10 15:24 背景 前面我们学习了利用Windows32位系统的缓冲区溢出漏洞来getshell,今天我们来利用Linux32位系统的缓冲区溢出漏洞来getshell,进一步学习和理解缓冲区溢出漏洞 – 首先,我们这次需要准备一个Linux32位系统

继续阅读

漏洞可达性分析:安全工程师的“手术刀”,精准切除90%无效漏洞 – 重构漏洞治理新范式

发布于 作者:

漏洞可达性分析:安全工程师的“手术刀”,精准切除90%无效漏洞 – 重构漏洞治理新范式 原创 tonghuaroot RedTeam 2025-02-10 14:46 一、漏洞洪峰时代:安全工程师的至暗时刻 2023年全球新增漏洞数量突破40万大关,平均每3分钟就有一个漏洞被武器化利用。传统基于CVSS评分和SLA的漏洞管理策略已全面失效: image – 数据暴增 :漏洞

继续阅读

用友U8Cloud FileTransportServlet 反序列化漏洞(附利用脚本地址)

发布于 作者:

用友U8Cloud FileTransportServlet 反序列化漏洞(附利用脚本地址) 原创 chobits02 Code4th安全团队 2025-02-10 14:14 用友U8cloud 是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案,全面支持多组织业务协同、营销创新、智能财务、人力服务,构建产业链制造平台,融合用友云服务,实现企业互联网资源连接、

继续阅读

【漏洞通告】IBM 安全验证目录命令执行 (CVE-2024-51450)

发布于 作者:

【漏洞通告】IBM 安全验证目录命令执行 (CVE-2024-51450) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况IBM Security Verify Directory版本10.0.0至1.0.3存在一个漏洞,允许远程认证的攻击者通过发送精心构造的请求在系统上执行任意命令。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称IBM 安全验证目录命令执行漏洞编号CVE

继续阅读

【漏洞通告】eventfd 双重关闭(CVE-2025-0665)

发布于 作者:

【漏洞通告】eventfd 双重关闭(CVE-2025-0665) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况   在完成线程名称解析后关闭连接通道时,libcurl 会错误地两次关闭同一个 eventfd 文件描述符。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称eventfd 双重关闭漏洞编号CVE编号CVE-2025-0665‍漏洞评估披露时间2025-02-0

继续阅读

【漏洞通告】Adobe Experience Manager | 跨站点脚本(存储型 XSS)(CVE-2024-53966)

发布于 作者:

【漏洞通告】Adobe Experience Manager | 跨站点脚本(存储型 XSS)(CVE-2024-53966) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况      Adobe Experience Manager版本6.5.21及之前的版本存在存储型跨站脚本(XSS)漏洞,低权限攻击者可利用该漏洞向易受攻击的表单字段注入恶意脚本。当受害者浏览包含易受攻

继续阅读

【漏洞通告】gzip 整数溢出(CVE-2025-0725)

发布于 作者:

【漏洞通告】gzip 整数溢出(CVE-2025-0725) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况      当使用libcurl通过CURLOPT_ACCEPT_ENCODING选项自动解压内容编码的HTTP响应时,如果使用zlib 1.2.0.3或更早版本,攻击者控制的整数溢出会导致libcurl发生缓冲区溢出。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称

继续阅读

合勤不打算修复已达生命周期路由器中的已遭利用漏洞

发布于 作者:

合勤不打算修复已达生命周期路由器中的已遭利用漏洞 Bill Toulas 代码卫士 2025-02-10 10:30 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 合勤公司发布了关于CPE系列设备中已遭活跃利用漏洞的安全通告称,没有补丁发布计划,督促用户使用受支持的型号。 VulnCheck 在2024年7月发现了这两个漏洞,不过GreyNoise 表示上周发现漏洞遭在野利用的迹象。 网络

继续阅读

【漏洞实战研磨】之细说log4j2

发布于 作者:

【漏洞实战研磨】之细说log4j2 原创 blue澜 小惜渗透 2025-02-10 10:10 say 最近工作生活学习和研究太多,时间着实有点不够用,而且有些文章现在由于某些因素还不能发还得等等,所以一直是静默状态。 ✅今天新启动一个合集,我为之起名叫【漏洞实战研磨】,这个我之前已经积攒了很多内容,不过一直没发而已。这个合集主要分享对于某个漏洞的细致打磨,比如一个漏洞,如何探测,探测有哪些方式

继续阅读

DayDayPoc-2024十大漏洞盘点

发布于 作者:

DayDayPoc-2024十大漏洞盘点 原创 烽火台实验室 Beacon Tower Lab 2025-02-10 07:53 导语 2024年转瞬即逝,DayDayPoc也已上线一年有余。这一年,DayDayPoc 平台注册人数已达1w+,已收录6000+个漏洞,作为交流与知识共享的重要阵地,我们始终坚持以漏洞研究为核心,以维护网络安全为使命。这一年,网络安全领域接连爆出了许多引人注目的漏洞。

继续阅读

【0day】码支付系统存在前台SQL注入漏洞

发布于 作者:

【0day】码支付系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2025-02-10 03:44 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 码支付是基于php开发的一套新型聚合收款、聚合支付系统,是一款专业的聚合免签收款系统,无需对接其余平台,个码就可收款,灰常的方便快捷,集成实现三网免挂功能,无需挂繁琐的监控软件就可实现回调,更便捷的监控方式,更优的产品质量. Fofa指

继续阅读

用友NC 漏洞分析–cartabletimeline存在SQL注入

发布于 作者:

用友NC 漏洞分析–cartabletimeline存在SQL注入 WLwl 神农Sec 2025-02-10 02:03 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/article/627 作者:WLwl 0x1

继续阅读

[工具推荐]jeecgBoot漏洞利用工具

发布于 作者:

[工具推荐]jeecgBoot漏洞利用工具 原创 zzz 良月安全 2025-02-10 02:01 免责声明 本公众号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。 工具链接 https://github.com/7wkajk/

继续阅读

渗透实战 | 微信小程序EDUSRC渗透漏洞复盘

发布于 作者:

渗透实战 | 微信小程序EDUSRC渗透漏洞复盘 不秃头的安全 2025-02-09 23:21 微信小程序EDUSRC渗透漏洞复盘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论, 严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?知识星球最后一次优惠,续费也有优惠私聊~~考证请加联系vx咨询 0x1 前言 哈喽,师傅们这次又来给师傅们分享

继续阅读

记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧

发布于 作者:

记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧 漏洞挖掘投稿 渗透安全HackTwo 2025-02-09 16:01 0x01 前言         在对某SRC分发平台进行渗透测试时,发现其后台管理系统存在安全漏洞。通过分析前端源码,发现了一个潜在的任意文件读取漏洞,并成功利用该漏洞获取了服务器的敏感信息,最终实现了从任意文件读取到获取服务器权限的全过程。 现在只对常读和星标的公

继续阅读

0到实战案例(CSRF漏洞)

发布于 作者:

0到实战案例(CSRF漏洞) sec0nd安全 2025-02-09 15:01 原理 用户登录目标网站 A 用户 C 在浏览器中访问 受信任网站 A,输入用户名和密码成功登录,网站 A 生成 Cookie 存储身份信息。 用户访问恶意网站 B 用户 C 没有退出网站 A,又在同一浏览器中打开另一个网页 网站 B(可能是钓鱼站点或被攻击者控制的页面)。 恶意网站 B 发送伪造请求 网站 B 含有攻

继续阅读

朗速ERP FileUploadApi.ashx 任意文件上传漏洞

发布于 作者:

朗速ERP FileUploadApi.ashx 任意文件上传漏洞 Superhero nday POC 2025-02-09 08:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删

继续阅读