SRC漏洞挖掘思路手法(非常详细)
SRC漏洞挖掘思路手法(非常详细) 原创 菜狗 富贵安全 2024-12-16 01:15 这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘的思路技巧。 很多人可能都挖过很多漏洞其中包括一些EDU或者别的野战,但是对于SRC往往无从下手,感觉自己挖不倒SRC漏洞,这里其实最重要的问题还是自己的心理问题,当然必须还有
继续阅读标签: POC
漏洞预警 | 大华DSS数字监控系统任意文件读取漏洞
漏洞预警 | 大华DSS数字监控系统任意文件读取漏洞 浅安 浅安安全 2024-12-16 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 大华DSS-平安城市解决方案是大华技术提供的一套全面、可靠的智能安防解决方案,以技术创新为驱动力,致力于提升城市整体安全水平。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏
继续阅读「漏洞复现」PbootCMS entrance.php SQL注入漏洞
「漏洞复现」PbootCMS entrance.php SQL注入漏洞 冷漠安全 冷漠安全 2024-12-16 00:00 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读漏洞预警 | 用友NC SQL注入漏洞
漏洞预警 | 用友NC SQL注入漏洞 浅安 浅安安全 2024-12-16 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。 0x0
继续阅读【0day】《黄药师》药业管理软件UploadFile存在任意文件上传漏洞
【0day】《黄药师》药业管理软件UploadFile存在任意文件上传漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-15 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **黄药师药店管理是专为零售药店打造的管理软件,集综合进销存管理,会员管理,GSP管理等于一身,其直观的界面,简洁的操作,去繁存精,更易使用,助您
继续阅读Atlassian Confluence 模板注入代码执行漏洞(CVE-2023-22527)
Atlassian Confluence 模板注入代码执行漏洞(CVE-2023-22527) TtTeam 2024-12-15 16:02 原文首发在:奇安信攻防社区 https://forum.butian.net/share/2741 作者:Le1a@threatbook校验:jweny@threatbook 漏洞描述 Atlassian Confluence是一款由Atlassian开发
继续阅读aiohttp存在目录遍历漏洞(CVE-2024-23334)
aiohttp存在目录遍历漏洞(CVE-2024-23334) 闻人语默 老鑫安全 2024-12-15 09:31 aiohttp是一个Python的HTTP客户端/服务器框架,它基于asyncio库实现异步编程模型,可以支持高性能和高并发的HTTP通信。aiohttp用于编写异步的Web服务器、Web应用程序或HTTP客户端,以提供对Web和HTTP资源的访问和操作。近日监测到aiohttp目
继续阅读网络资产收集与漏洞扫描工具
网络资产收集与漏洞扫描工具 黑白之道 2024-12-15 01:43 工具介绍 hscan是一款网络资产收集与漏洞扫描工具,作者目前已完成以下功能。 探活 服务扫描(常规 & 非常规端口) poc探测(xray v2 & nuclei格式) 数据库等弱口令爆破 内网常见漏洞利用 快速使用 sudo ./hscan -h IP或IP段 sudo ./hscan -hf IP或IP段
继续阅读实战 | 记一次双排渗透测试漏洞复盘
实战 | 记一次双排渗透测试漏洞复盘 原创 Abin/zuohua 神农Sec 2024-12-15 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 某天晚上和源哥进行技术交流,期间一起合作对一个站点进行测试,主要就是测试一下能不能出点货。就有了下面的双排渗透测试哈
继续阅读大华DSS数字监控系统 attachment_downloadAtt.action 任意文件读取漏洞
大华DSS数字监控系统 attachment_downloadAtt.action 任意文件读取漏洞 冷漠安全 冷漠安全 2024-12-15 00:00 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读「漏洞复现」YourPHPCMS checkEmail SQL注入漏洞
「漏洞复现」YourPHPCMS checkEmail SQL注入漏洞 冷漠安全 冷漠安全 2024-12-14 04:57 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读Zabbix 存在SQL注入漏洞 (CVE-2024-42327)
Zabbix 存在SQL注入漏洞 (CVE-2024-42327) Mstir 星悦安全 2024-12-14 04:20 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Zabbix 是一款可监控网络的众多参数以及服务器、虚拟机、应用程序、服务、数据库、网站、云等的健康状况和完整性。Zabbix 使用灵活的通知机制,允许用户为几乎任何事件配置基于电子邮件的警报。这允许对服务器问题做出快速
继续阅读价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过
价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过 原创 一个不正经的黑客 一个不正经的黑客 2024-12-14 04:05 价值1.4 W人民币漏洞!骚!缓存配置错误造成鉴权绕过 正文 这篇文章讲述了我最喜欢的一个漏洞发现,因为它是一个非常出乎意料的问题。 我当时在测试一个电子商务网站。 该网站有两个资产在测试范围内: target.com 和 admin.target.com。 其中 t
继续阅读安全学院24期开班福利!大咖嘉宾课、poc知识星球免费送
安全学院24期开班福利!大咖嘉宾课、poc知识星球免费送 掌控安全EDU 掌控安全EDU 2024-12-14 04:05 扫码咨询 领福利 作为高薪高技术高缺口的网络行业,通过自学能达到就业标准那当然很棒,但是并不是所有人都适合这条路.有人一走就是1年,甚至更久.. 为什么会有培训机构的存在? 存在即合理,相对于校园的偏理论授课,我们会更倾向于实战教学 ,网络安全是顶级学科,以渗透实战为主的技术
继续阅读北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新)
北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新) 原创 Secu的矛与盾 Secu的矛与盾 2024-12-14 03:06 漏洞描述 北京时空智友科技有限公司是一家经营范围包括技术开发、技术推广、技术转让、技术咨询、技术服务等的公司。 北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。 测绘语法: fofa-query: ‘
继续阅读锐捷Reyee云管理平台发现严重漏洞
锐捷Reyee云管理平台发现严重漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-14 01:00 导读 网络安全公司 Claroty 的警告称,Reyee 云管理平台和 Reyee OS 网络设备中的漏洞可能允许黑客控制数万台设备。 Ruijie 设备使用 MQTT 消息协议进行通信,其中设备使用用户名/密码对向代理进行身份验证,其中用户名是序列号,密码是反向序列号的 SHA256 计算。
继续阅读PHP 常见漏洞威胁函数 | 全面总结
PHP 常见漏洞威胁函数 | 全面总结 繁星01 安全君呀 2024-12-14 00:10 点击上方蓝色文字关注↑↑↑↑↑ 将 安全君呀 设为”星标 ⭐ ️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容部分选取网络,如有侵权,
继续阅读漏洞预警 | 顺景ERP管理系统任意文件下载漏洞
漏洞预警 | 顺景ERP管理系统任意文件下载漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 顺景ERP管理系统是一款为中小型企业量身打造的企业资源规划软件,旨在帮助企业优化业务流程、提高效率,并实现信息化管理。 0x03 漏洞详情 漏洞类型: 任意文件下载 影响: 获取敏感信息 简述
继续阅读漏洞预警 | YourPHPCMS SQL注入漏洞
漏洞预警 | YourPHPCMS SQL注入漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 YourphpCMS是一款完全开源免费的PHP+MYSQL系统,强大灵活的后台管理功能、任何添加多国语言功能、静态页面生成功能、自定义模型功能、自制插件安装管理功能、自定义幻灯片模板等可为企
继续阅读漏洞预警 | I Doc View SSRF漏洞
漏洞预警 | I Doc View SSRF漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 I Doc View在线文档预览系统是一套用于在Web环境中展示和预览各种文档类型的系统,如文本文档、电子表格、演示文稿、PDF文件等。 0x03 漏洞详情 漏洞类型: SSRF 影响: 获取
继续阅读【0day】圣乔ERP系统downloadFile存在任意文件读取漏洞
【0day】圣乔ERP系统downloadFile存在任意文件读取漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-13 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **圣乔科技有限公司成立于2007年02月27日,注册地位于浙江省杭州市拱墅区和睦路555号201幢116室,法定代表人为张鹏。经营范围包括计算机软硬
继续阅读【云原生攻防研究】Istio访问授权再曝高危漏洞
【云原生攻防研究】Istio访问授权再曝高危漏洞 黑伞安全 2024-12-13 14:33 一、概述 在过去两年,以Istio为代表的Service Mesh的问世因其出色的架构设计及火热的开源社区在业界迅速聚集了一批拥簇者,BAT等大厂先后也发布了自己的Service Mesh落地方案并在生产环境中部署运行。Service Mesh不仅可以降低应用变更过程中因为耦合产生的冲突(传统单体架构应用
继续阅读【漏洞预警】Cleo远程代码执行漏洞CVE-2024-50623
【漏洞预警】Cleo远程代码执行漏洞CVE-2024-50623 cexlife 飓风网络安全 2024-12-13 13:58 漏洞描述: Cleo LexiCom、VLTransfer 和 Harmony 都是用于数据传输、企业集成和电子数据交换(EDI)等任务的软件工具,主要应用于企业间的文件交换、供应链管理等领域,Cleo LexiCom、VLTransfer 和 Harmony产品中存在
继续阅读用友NC yerfiledown SQL注入漏洞复现
用友NC yerfiledown SQL注入漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-12-13 12:05 FOFA app="用友-UFIDA-NC" 漏洞复现 nuclei运行结果 POC与nuclei-poc已上传到知识星球 高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具
继续阅读【复现】 Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告
【复现】 Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-12-13 11:39 赛博昆仑漏洞安全通告- Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告 漏洞描述 Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Se
继续阅读黑盒乱锤某专属SRC到0day代码分析
黑盒乱锤某专属SRC到0day代码分析 不秃头的安全 2024-12-13 09:54 **黑盒乱锤某专属SRC到0day代码分析**** 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?快来加入星球 -考证请加联系vx咨询 由 于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 上
继续阅读Cleo修复严重的0day漏洞
Cleo修复严重的0day漏洞 Sergiu Gatlan 代码卫士 2024-12-13 09:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Cleo 发布安全更新,修复了位于 LexiCom、VLTransfer 和 Harmony 软件中的一个0day漏洞。该漏洞目前已被用于盗取数据。 10月,Cleo 修复了位于其文件传输管理软件中的一个预认证远程代码执行漏洞(CVE-202
继续阅读安全设备漏洞 Checklist
安全设备漏洞 Checklist 原创 老鑫安全 老鑫安全 2024-12-13 09:31 弯刀划过红玫瑰,爱我yao家英雄会 2024年最后一个有可能一举翻身的机会 安全设备漏洞 Checklist 【免责声明】本项目所涉及的技术、思路和工具仅供学习,任何人不得将其用于非法用途和盈利,不得将其用于非授权渗透测试,否则后果自行承担,与本项目无关。使用本项目前请先阅读法律法规。 一、身份与访问控制
继续阅读MyQ 打印服务器未经身份验证的 RCE (CVE-2024-28059)
MyQ 打印服务器未经身份验证的 RCE (CVE-2024-28059) Ots安全 2024-12-13 06:51 MyQ打印服务器,作为一款广泛应用于企业环境中的解决方案,旨在优化打印资源的使用,提高工作效率。 然而,近期 Positive Hack Days (PHDays) 在越南举行的 Positive Hack Talks in Vietnam 会议,技术员:Arseniy S
继续阅读思普企业运营管理平台 apilogin SQL注入漏洞
思普企业运营管理平台 apilogin SQL注入漏洞 Superhero nday POC 2024-12-13 03:21 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉
继续阅读