安科瑞环保用电监管云平台 GetEnterpriseInfoY SQL注入漏洞
安科瑞环保用电监管云平台 GetEnterpriseInfoY SQL注入漏洞 Superhero nday POC 2025-02-07 02:58 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读标签: SQL注入
【漏洞复现】XXL-JOB-Admin 前台api未授权 hessian2反序列化
【漏洞复现】XXL-JOB-Admin 前台api未授权 hessian2反序列化 孤独成诗 Sec探索者 2025-02-07 01:13 点击下方名片,关注公众号,一起探索网络安全技术 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢! 01 漏洞描
继续阅读微软Sysinternals工具中的0day漏洞允许攻击者对Windows 发起 DLL 注入攻击
微软Sysinternals工具中的0day漏洞允许攻击者对Windows 发起 DLL 注入攻击 会杀毒的单反狗 军哥网络安全读报 2025-02-07 01:00 导读 几乎所有 Microsoft Sysinternals 工具中都发现一个严重的 0-Day 漏洞,这对依赖这些实用程序进行系统分析和故障排除的 IT 管理员和开发人员构成了重大风险。 该漏洞概述了攻击者如何利用DLL 注入技术
继续阅读APP渗透测试 — janus漏洞
APP渗透测试 — janus漏洞 Web安全工具库 2025-02-06 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: 链接:https://pan.quark.cn/s/276691239b96 00:00 – 2017年度重大漏洞:在不改变签名的情况下替换APK文件 讨论了一个在2017年引起广泛关注的重大安全漏洞,该漏洞允许攻击者在不改变应用签名
继续阅读实战缓冲区溢出漏洞攻击:从信息收集到成功提权
实战缓冲区溢出漏洞攻击:从信息收集到成功提权 原创 泷羽Sec—边酱 泷羽Sec-边酱 2025-02-06 14:04 实战缓冲区溢出漏洞攻击:从信息收集到成功提权 今天 带大家深入网络安全的实战领域 来一场刺激的缓冲区溢出漏洞利用 之旅 咱们以Brainpan程序 为例,一步步揭开漏洞攻击的神秘面纱,但这仅仅是用于学习交流,可别拿去干坏事哦! 一、信息收集:摸清目标底细 (一)扫描网段找目标
继续阅读HVV实战课程与超值福利
HVV实战课程与超值福利 原创 ZPZ安全团队 ZeroPointZero安全团队 2025-02-06 10:23 P ART.01/ 课程简介 欢迎加入HVV行动实战课程,这是一门为网络安全爱好者和安全从业者量身打造的高端课程,专注于红蓝对抗技能的深入学习和实践应用。无论你是刚刚踏入网络安全领域的初学者,还是经验丰富的专业人士,这门课程都将带你深入探索网络攻防的精髓,为你提供从基础知识到高级技
继续阅读OWASP发布2025十大智能合约安全漏洞
OWASP发布2025十大智能合约安全漏洞 中科天齐软件安全中心 2025-02-06 10:00 点击 蓝字 关注中科天齐 随着去中心化金融(DeFi)和区块链技术的不断发展,智能合约安全的重要性愈发凸显。在此背景下,开放网络应用安全项目(OWASP)发布了备受期待的《2025年智能合约十大漏洞》报告。 这份最新报告反映了不断演变的攻击向量,深入剖析了近年来的常见漏洞及缓解策略。旨在提升Web3
继续阅读Elon Musk团队操作引发美国政府数据安全危机与网络安全漏洞担忧;2024 网安(亏损)TOP 10 | 牛览
Elon Musk团队操作引发美国政府数据安全危机与网络安全漏洞担忧;2024 网安(亏损)TOP 10 | 牛览 安全牛 2025-02-06 09:26 新闻速览 2024 网安(亏损)TOP 10 Backline利用人工智能解决企业安全积压问题 Zyxel 路由器遭受 CVE-2024-40891 攻击,确认不再提供补丁;Netgear 发布关键漏洞修复 Grubhub 因第三方服务提供商
继续阅读【真0day】Microsoft Sysinternals 工具中存在0day漏洞
【真0day】Microsoft Sysinternals 工具中存在0day漏洞 独眼情报 2025-02-06 06:48 我发现了几乎所有Sysinternals工具中的关键漏洞,并在视频中详细展示了这些漏洞的背景及攻击过程。关于这些漏洞的总结和视频链接可以在我的博客文章中找到。 这些工具由Microsoft开发,广泛应用于IT管理中,常用于系统分析和故障排查。视频中展示的漏洞涉及工具套件中
继续阅读AMD SEV 漏洞允许以管理员身份恶意注入 CPU 微码
AMD SEV 漏洞允许以管理员身份恶意注入 CPU 微码 汇能云安全 2025-02-06 02:34 2月6日,星期四,您好!中科汇能与您分享信息安全快讯: 01 PlushDaemon APT 在供应链攻击中以韩国 VPN 提供商为目标 根据 ESET 的新调查结果,一个以前未记录的与中国结盟的高级持续威胁 (APT) 组织 PlushDaemon 与 2023 年针对韩国虚拟专用网络 (V
继续阅读kkFileView漏洞不出网任意文件写入利用
kkFileView漏洞不出网任意文件写入利用 原创 不会排版 多才多艺的老王 2025-02-06 02:30 利用版本4.2.0 <= kkFileView <= 4.4.0-beta使用两种方式注入注入内存马1、覆盖uno.py注入内存马路径可能需要更改”/opt/libreoffice6.0″,”/opt/libreoffice6.1R
继续阅读Git交互式凭证提示和凭据重定向漏洞CVE-2024-50349 CVE-2024-52006
Git交互式凭证提示和凭据重定向漏洞CVE-2024-50349 CVE-2024-52006 SecHub网络安全社区 2025-02-05 09:06 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权
继续阅读入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第二十期
入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第二十期 原创 安钥 方桥安全漏洞防治中心 2025-02-05 07:01 2025年1月9日发布的 安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第2期,总第20期] 活动现已结束。经过初评和复审,本次共有 7 篇 SOP 入选。 入选SOP作品 结构清晰、内容翔实、实用性强,有较高的借鉴意义,体现了作者在漏洞处置实践工
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第5期,总第23期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第5期,总第23期] 原创 安钥 方桥安全漏洞防治中心 2025-02-05 07:01 感谢所有参与漏洞处置SOP征文活动的每一个人,为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程经常
继续阅读自动化软件漏洞利用技术研究
自动化软件漏洞利用技术研究 NEURON SAINTSEC 2025-02-05 02:00 Automatic Exploit Generation可以看作是一种算法,它集成了数据流分析和决策程序,目的是自动化构建漏洞利用。本文主要覆盖三种常见安全漏洞的自动化漏洞利用:基于堆栈的破坏存储指令指针的缓冲区溢出,破坏函数指针的缓冲区溢出,以及缓冲区溢出造成任意地址写。 1. 介绍 当前漏洞利用通常是
继续阅读sqlmap Xplus 基于 sqlmap,对经典的数据库注入漏洞利用工具进行二开!更新V1.6
sqlmap Xplus 基于 sqlmap,对经典的数据库注入漏洞利用工具进行二开!更新V1.6 黑白之道 2025-02-05 01:22 工具介绍 sqlmapxplus在众多的地区性攻防演练中,SQL Server数据库堆叠注入仍有较高的爆洞频率,但因为一些常见的演练场景限制,如不出网、低权限、站库分离、终端防护、上线困难、权限维持繁琐等,仅一个–os-shell已经难满足我们
继续阅读420万台主机面临安全风险!VPN、路由器等设备因隧道协议漏洞暴露
420万台主机面临安全风险!VPN、路由器等设备因隧道协议漏洞暴露 原创 Hankzheng 技术修道场 2025-02-05 00:16 近日,一项由Top10VPN与比利时鲁汶大学教授Mathy Vanhoef合作的研究揭示,多个隧道协议存在严重安全漏洞 ,可能导致攻击者对420万台主机发起多种攻击,其中包括VPN服务器、ISP家用路由器、核心互联网路由器、移动网络网关以及内容分发网络(CDN
继续阅读jeecgBoot漏洞利用工具 — jeecgBootAttack(2月1日更新)
jeecgBoot漏洞利用工具 — jeecgBootAttack(2月1日更新) 7wkajk 网络安全者 2025-02-04 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,
继续阅读记一次网上阅卷系统漏洞挖掘
记一次网上阅卷系统漏洞挖掘 原创 zkaq-小渣渣 掌控安全EDU 2025-02-04 04:35 扫码领资料 获网安教程 本文由掌控安全学院 – 小渣渣 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn 提取指纹后,鹰图搜索:web.body=”img/XXXXXX.gif” img 漏洞一 首先,我先测试账号密码问题,填写账号
继续阅读从SkyWalking历史漏洞学习h2db注入利用
从SkyWalking历史漏洞学习h2db注入利用 NEURON SAINTSEC 2025-02-04 02:00 摘要:从skywalking的cve带入,通过skywalking的漏洞场景来了解h2数据库的注入利用方式。 Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行及民航
继续阅读【焕新领先】捷普漏洞扫描系统
【焕新领先】捷普漏洞扫描系统 交大捷普 2025-02-04 01:00 捷普漏洞扫描系统 产品特点 01 丰富的漏洞库资源 NVAS的漏洞知识库量级为300000条,涵盖了各种主流操作系统、应用服务、数据库、网络设备、虚拟化平台、大数据、视频监控系统等。漏洞知识库数量国内领先,每两周至少升级一次。漏洞相关信息支持全中文,兼容CVE,CNNVD等标准,漏洞修复建议清晰、详细,可操作性强。 02 结
继续阅读【burpsuite靶场-服务端4】命令注入漏洞
【burpsuite靶场-服务端4】命令注入漏洞 原创 underatted 泷羽Sec-underatted安全 2025-02-03 14:38 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢! 1.简介 在本节中,我们将解释什么是操作系统
继续阅读漏洞挖掘 | 基于mssql数据库的sql注入
漏洞挖掘 | 基于mssql数据库的sql注入 原创 zkaq-洛川 掌控安全EDU 2025-02-03 04:00 扫码领资料 获网安教程 本文由掌控安全学院 – 洛川 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 前记 今天挖edu随意点开个站,发现存在mssql数据库的sql注入,在此分享下整个挖掘过程 目录 0x1 判
继续阅读AI驱动API漏洞激增1205%,企业安全面临空前挑战!
AI驱动API漏洞激增1205%,企业安全面临空前挑战! 原创 紫队 紫队安全研究 2025-02-03 03:59 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 🔍 API安全成为网络安全新战场,AI
继续阅读【oscp】SickOS系列全教程
【oscp】SickOS系列全教程 泷羽Sec-Norsea 2025-02-02 14:49 ~ 一份耕耘,一份收获 ~ SickOS1.1 靶机下载链接见: https://download.vulnhub.com/sickos/sick0s1.1.7z 靶机渗透,主机发现 arp-scan -l image-20250121142916961 端口扫描,80端口是没有开启的,3128端口有一
继续阅读Microsoft SQL Server 中的 RCE:探索错误配置并获得命令执行能力
Microsoft SQL Server 中的 RCE:探索错误配置并获得命令执行能力 Ots安全 2025-02-02 14:39 本文将探讨如何从 Microsoft SQL Server (MSSQL) shell 升级到在目标计算机上执行命令。这可以通过使用名为 xp_cmdshell 的内置 MSSQL 功能来实现。 这种攻击比最初看起来要严重得多。虽然该进程是从 MSSQL 外壳启动的
继续阅读Zyxel CPE 设备遭遇大规模攻击:关键漏洞(CVE-2024-40891)仍未修复!
Zyxel CPE 设备遭遇大规模攻击:关键漏洞(CVE-2024-40891)仍未修复! 原创 紫队 紫队安全研究 2025-02-02 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 🚨
继续阅读CVE-2025-0065:TeamViewer 修补 Windows 客户端中的权限提升漏洞
CVE-2025-0065:TeamViewer 修补 Windows 客户端中的权限提升漏洞 Ots安全 2025-02-01 08:45 TeamViewer 是一款流行的远程访问和支持软件,它发布了一个关键安全公告,解决了一个漏洞,该漏洞可能允许攻击者在 Windows 系统上获得提升的权限。该漏洞被追踪为 CVE-2025-0065,CVSS 评分为 7.8(高),影响版本 15.62 之
继续阅读卡巴斯基公布奔驰汽车十几个漏洞
卡巴斯基公布奔驰汽车十几个漏洞 跳舞的花栗鼠 FreeBuf 2025-02-01 04:02 卡巴斯基披露了在梅赛德斯—奔驰信息娱乐系统中发现的十多个漏洞的细节,但这家汽车制造商向客户保证,这些安全漏洞已经得到修复,且不易被利用。 上周,俄罗斯网络安全公司卡巴斯基发布了一篇博客文章( 梅赛德斯-奔驰主机安全研究报告 ),深入分析了梅赛德斯—奔驰用户体验(MBUX)系统。此次研究主要针对第一代MB
继续阅读创新终端主动防护-多种通用0day漏洞检测方案
创新终端主动防护-多种通用0day漏洞检测方案 原创 xiaoliangliu xiaoliangliu 2025-02-01 03:08 2019 可能会是过去十年里最差的一年,但却是未来十年里最好的一年。没想到日子这么快已经2025 ,祝福大家新年快乐,我写了一篇关于0day漏洞检测的技术文章进行开源分享,供互相交流学习。 摘要 在真实世界中,APT组织使用0day/Nday进行一系列攻击的比
继续阅读