某漏洞文库公众号作者去喝茶了
某漏洞文库公众号作者去喝茶了 原创 吃瓜人员 MiSecurity 2025-01-07 05:21 网上 时间线: 1.3日 转发某华RCE漏洞poc 1.3日 该漏洞poc被删除 1.7日 号主被请喝茶 1.7日 号主注销账号 大家以后发POC需要警惕了!不要随意发布POC及安全工具!
继续阅读标签: RCE
突发!更新漏洞poc的公众号主被抓!
突发!更新漏洞poc的公众号主被抓! 棉花糖fans 2025-01-07 05:02 就在今天上午,”漏洞文库“公众号启动注销。 据了解,是因为前段时间发布了xx系统相关的RCE漏洞,导致某企业被打穿,造成了一定后果,图为群友聊天截图。 该号主的朋友圈: 往期文章 自定义kali:增加60+常用渗透工具,哥斯拉特战版,cs魔改应有尽有,菜单栏启动2024-12-27 交流群新增github po
继续阅读【成功复现】Cleo产品远程命令执行漏洞(CVE-2024-50623)
【成功复现】Cleo产品远程命令执行漏洞(CVE-2024-50623) 弥天安全实验室 弥天安全实验室 2025-01-07 04:27 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Cleo LexiCom等都是Cleo公司的产品。Cleo LexiCom是一个集成平台。Cleo Harmony是一个
继续阅读吃瓜-国内最快漏洞文库已注销
吃瓜-国内最快漏洞文库已注销 吃瓜 山海之关 2025-01-07 04:24 利益相关: 该号主在HW期间,星球发什么内容他就搬运什么内容,经过友好交谈后我们成为了朋友。 时间线: 1.3日转发某华RCE漏洞poc 1.3日该漏洞poc被删除 1.7日号主被请喝茶 1.7日号主注销账号 原因: 该漏洞poc在短时间内被大量转载,据说是有私企被该漏洞打穿了 警醒: 虽然poc一般不会产生破坏性,但
继续阅读Windows 曝9.8分漏洞,已有PoC及利用情况
Windows 曝9.8分漏洞,已有PoC及利用情况 老布-Freebuf 乌雲安全 2025-01-07 03:00 SafeBreach Labs的研究人员发布了关于Windows轻量级目录访问协议(LDAP)的一个关键漏洞的概念验证(PoC)和漏洞利用方法,该漏洞编号为CVE – 2024 – 49112。微软在2024年12月10日的补丁星期二更新中披露了此漏洞,其
继续阅读【全球首发】【6w$赏金】微软身份漏洞-未授权强制解绑任意微软账户邮箱(全球微软账户邮箱或受影响)
【全球首发】【6w$赏金】微软身份漏洞-未授权强制解绑任意微软账户邮箱(全球微软账户邮箱或受影响) 实战安全研究 2025-01-07 01:00 11.6 – birthday gift for me 商务合作、转载本文,请后台私聊本公众号 吃瓜请看至文末 致谢 我是Feng Jiaming,公开别名 Sugobet/M1n9K1n9,来自中国广东工贸职业技术学院的在校学生 I
继续阅读AWS在4年内出现3次重复同一个严重RCE漏洞
AWS在4年内出现3次重复同一个严重RCE漏洞 原创 何威风 祺印说信安 2025-01-07 00:10 过去四年中,亚马逊网络服务 (AWS) 通过其 Neuron SDK 三次引入相同的远程代码执行 (RCE) 漏洞,凸显其 Python 包安装过程的安全保护存在严重失误。 尽管之前已经发出警告并进行了修复,但同样的依赖混淆漏洞在其软件生态系统中随着新软件包的发布再次出现。 该问题最早是在
继续阅读暗网情报5则:涉国外赌场、金融企业、国内化工上市企业、VPN漏洞等
暗网情报5则:涉国外赌场、金融企业、国内化工上市企业、VPN漏洞等 原创 网空闲话 网空闲话plus 2025-01-06 23:16 1月7日监测暗网发现,威胁行为者活动持续猖獗,发现多起风险较高的情报信息。首先,菲律宾博彩公司Betrnk Inc的完整源代码和游戏基础设施被窃取并在暗网出售,可能导致重大财务损失和运营中断。其次,哥伦比亚金融服务公司AXA COLPATRIA的数据库泄露,约1万
继续阅读【神兵利器】内网全方位漏洞扫描工具
【神兵利器】内网全方位漏洞扫描工具 P001water 七芒星实验室 2025-01-06 23:01 项目介绍 P1soda是一款 常规内网渗透场景下的全方位漏洞扫描工具 功能特色 – 主机存活探测:充分适应内网场景,ip输入,支持ICMP echo发包探测、ping命令探测 端口指纹识别:基于nmap-service-probes指纹实现的Mini nmap端口指纹识别引擎,出于工
继续阅读如何将低危的 SSRF 盲注升级为严重漏洞
如何将低危的 SSRF 盲注升级为严重漏洞 Z2O安全攻防 2025-01-06 14:16 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 简介 今天分享国外白帽Amr Mustafa如何利用 SSRF 盲注发现和利用关键漏洞的经验。 什么是SSRF? 服务器端请求伪造(SSRF)是一
继续阅读CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析
CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析 原创 ybdt 卡卡罗特取西经 2025-01-06 12:41 前言 朋友圈看到有人转发了一篇“CVE-2024-25600:WordPress Bricks Builder RCE”,感觉挺有意思,点进去看了下,可是从头到尾看得我有点迷糊,本着打破砂锅问到底的原则,本文试图以漏洞挖掘者的视角详细
继续阅读快讯丨工信部:关于防范Apache Struts2任意文件上传超危漏洞的风险提示
快讯丨工信部:关于防范Apache Struts2任意文件上传超危漏洞的风险提示 工业安全产业联盟平台 2025-01-06 10:56 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,开源应用框架Apache Struts2存在任意文件上传超危漏洞,可被恶意利用实现远程代码执行,导致敏感数据泄露和系统受控。 Apache Struts2是一款开源Java Web应用程序开
继续阅读日系三大车企纷纷投靠华为
日系三大车企纷纷投靠华为 谈思实验室 2025-01-06 10:00 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 日前,有消息爆料,本田与华为在智能驾驶领域展开合作,探索并行解决方案。本田计划在其未来的车型中搭载华为的智能驾驶解决方案,这一合作将体现在即将发布的“烨品牌”车上。 另外也有消息指出,知情人士透露,“未来不排除‘烨品牌’旗下同一款车型会采用‘Honda SENSING 360
继续阅读三部委联合印发《国家数据基础设施建设指引》;PoC漏洞利用工具LDAPNightmare或导致Windows服务器崩溃
三部委联合印发《国家数据基础设施建设指引》;PoC漏洞利用工具LDAPNightmare或导致Windows服务器崩溃 安全牛 2025-01-06 08:58 点击蓝字·关注我们 / aqniu 新闻速览 •三部委联合印发《国家数据基础设施建设指引》 •网信办就《个人信息出境个人信息保护认证办法(征求意见稿)》公开征求意见 •双重点击劫持攻击警报:影响几乎所有网站 •新型安卓恶意软件Fire
继续阅读CVE-2024-50379|条件竞争Tomcat RCE POC(首发)
CVE-2024-50379|条件竞争Tomcat RCE POC(首发) TtTeam 2025-01-06 06:41 此文章只为学习而生,请勿干违法违禁之事,本公众号只在技术的学习上做以分享,只做1day的漏洞复现, 所有行为与本公众号无关。 01 漏洞描述 如果默认 servlet 对大小写不敏感的文件系统启用了写入功能(只读初始化参数设置为非默认值 false),则在负载情况下同时读取和
继续阅读山石说AI|精准探测 智慧守护:大模型重塑漏洞检测新标杆
山石说AI|精准探测 智慧守护:大模型重塑漏洞检测新标杆 原创 山石网科 山石网科新视界 2025-01-06 06:01 【山石说AI】•第16篇 大模型在网络安全中的最新应用进展(五) 漏洞检测是网络安全的“侦查兵”,而大模型则为这一领域增添了革命性的技术活力。从深度语义理解到精准漏洞定位,大模型正在重新书写检测规则,为安全从业者提供更强大的技术武器,让防线更智慧、更高效。 本节概述了利用大模
继续阅读CVE-2024-47575:FortiManager FortiManager Cloud 缺少身份验证允许执行任意代码或命令
CVE-2024-47575:FortiManager FortiManager Cloud 缺少身份验证允许执行任意代码或命令 Ots安全 2025-01-06 05:44 最近,Fortinet(及其客户)的日子不好过,甚至比平时更难过。最近,设备漏洞不断增加,而FortiManager(用于集中管理 FortiGate 设备的工具)中又出现了严重的 CVSS 9.8 漏洞。 与往常一样,本博
继续阅读ysoSimple:简易的Java漏洞利用工具
ysoSimple:简易的Java漏洞利用工具 黑白之道 2025-01-06 01:55 01 工具介绍 ysoSimple: 简易的Java漏洞利用工具,集成Java反序列化,Hessian反序列化,XStream反序列化,SnakeYaml反序列化,Shiro550,JSF反序列化,SSTI模板注入,JdbcAttackPayload,JNDIAttack,字节码生成。 ysoSimple工
继续阅读刷脸登录银行 App 现他人信息,银行回应称“网络抖动带来的极小概率事件”|Windows 曝9.8分漏洞,已有PoC及利用情况
刷脸登录银行 App 现他人信息,银行回应称“网络抖动带来的极小概率事件”|Windows 曝9.8分漏洞,已有PoC及利用情况 黑白之道 2025-01-06 01:55 刷脸登录银行 App 现他人信息,银行回应称“网络抖动带来的极小概率事件” 1 月 5 日消息,据“潮新闻”报道,最近杭州市民魏先生却遇上了一件意外事件,登录某银行企业客户端时,刷脸刷出来的却是别人的账号。 1 月 2 日当天
继续阅读【漏洞复现】DataEase数据可视化分析平台JWT硬编码身份认证绕过漏洞
【漏洞复现】DataEase数据可视化分析平台JWT硬编码身份认证绕过漏洞 原创 漏洞文库 漏洞文库 2025-01-06 01:46 免责声明**** 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的
继续阅读【漏洞复现】快云服务器助手GetDetail接口文件任意文件读取漏洞
【漏洞复现】快云服务器助手GetDetail接口文件任意文件读取漏洞 FL_Clover 网络安全007 2025-01-06 01:01 漏洞介绍 在当今复杂多变的网络安全环境中, 快云服务器助手存在的 GetDetail 任意文件读取漏洞,是一个具有较高安全风险的隐患。该漏洞使得不法分子有可能利用其机制上的缺陷,通过构造特定的请求等方式,突破正常的权限限制,实现对服务器上任意文件进行读取操作。
继续阅读研究人员发布针对 Windows LDAP 漏洞的 PoC 漏洞利用程序
研究人员发布针对 Windows LDAP 漏洞的 PoC 漏洞利用程序 原创 很近也很远 网络研究观 2025-01-05 13:27 SafeBreach Labs 发布了针对 CVE-2024-49113 的概念验证 (PoC) 漏洞利用,该漏洞是 Microsoft Windows 轻量级目录访问协议 (LDAP) 中的拒绝服务 (DoS) 漏洞。 除此之外,研究人员还详细介绍了他们利用相
继续阅读【漏洞复现】内训宝 SCORM 模块存在任意文件上传漏洞
【漏洞复现】内训宝 SCORM 模块存在任意文件上传漏洞 FL_Clover 网络安全007 2025-01-05 08:26 漏洞介绍 在当今复杂多变的网络安全环境中, 近期发现内训宝 SCORM 模块存在任意文件上传漏洞,该漏洞允许未经授权的用户绕过正常文件上传限制,上传恶意文件。此漏洞影响范围广,会导致安全风险、信息泄露等危害。建议采取紧急修复、加强安全防护、监控检测以及培训教育等措施。 建
继续阅读DataEase 严重级别任意登录漏洞 POC 已公开
DataEase 严重级别任意登录漏洞 POC 已公开 原创 一个不正经的黑客 一个不正经的黑客 2025-01-05 02:04 DataEase 严重级别任意登录漏洞 POC 已公开 1.DataEase 简介 DataEase 是一个开源的数据可视化分析工具 项目地址:https://github.com/dataease/dataease 目前 Github 平台已经高达 18.7K St
继续阅读edu挖掘从弱口令到RCE
edu挖掘从弱口令到RCE 扫地僧的茶饭日常 2025-01-04 08:02 扫码领资料 获网安教程 本文由掌控安全学院 – 洛川 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 访问某学校官网点击教务在线 找到实践教学管理平台 来到学校的毕业设计系统登录界面 通过弱口令学号学号登录进去,学号直接搜索引擎搜索得到即可 发现coo
继续阅读山石安研院2024年度代表性原创0day漏洞
山石安研院2024年度代表性原创0day漏洞 原创 NEURON 山石网科安全技术研究院 2025-01-04 05:25 在过去的一年中安全技术研究院三大实验室挖掘了无数的各类原创0day漏洞,帮助国内外各大厂商修复了众多的高危及严重漏洞,由于CNVD的漏洞最高级别只是高危,所以有些超危、严重的漏洞都算为高危了。这里仅以CNVD为例展示部分有代表性的漏洞,也可以看出近几年的物联网类设备都是安全漏
继续阅读大华智能物联综合管理平台RCE远程代码执行漏洞-影响资产8000+| 漏洞预警
大华智能物联综合管理平台RCE远程代码执行漏洞-影响资产8000+| 漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2025-01-03 16:00 0x01 产品简介 大华智能物联综合管理平台,作为浙江大华技术股份有限公司推出的一款集成了多项业务管理功能的平台软件,该平台主要面向智能园区、商业综合体等多种应用场景,旨在提供一个全面、高效的解决方案,为客户提供一套集成、
继续阅读2024年度网络安全热点事件盘点
2024年度网络安全热点事件盘点 原创 Hackernews 安全威胁纵横 2025-01-03 09:06 随着2024年的落幕,全球网络安全领域经历了一系列深刻变化和挑战。这一年,我们见证了网络攻击的规模和复杂性达到了前所未有的水平,从勒索软件的全球肆虐到数据泄露事件的惊人规模,网络安全事件的频发不仅考验了各国的安全防御能力,也暴露了数字化世界中的脆弱性。AI技术的双刃剑效应愈发明显,一方面,
继续阅读关于防范Apache Struts2任意文件上传超危漏洞的风险提示
关于防范Apache Struts2任意文件上传超危漏洞的风险提示 CSTIS 网络安全威胁和漏洞信息共享平台 2025-01-03 09:04 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源应用框架 Apache Struts2 存在任意文件上传超危漏洞,可被恶意利用实现远程代码执行,导致敏感数据泄露和系统受控。 Apache Struts2 是一款开源 Jav
继续阅读Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步
Web漏洞分析与防范实战丨从”脚本小子”迈向”研究员”的第一步 蚁景网络安全 2025-01-03 09:03 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等
继续阅读