.NET 复现某OA 3个SQL堆叠注入漏洞
.NET 复现某OA 3个SQL堆叠注入漏洞 专攻.NET安全的 dotNet安全矩阵 2024-04-13 08:30 01 应用介绍 某宝 OA是一款企业级办公自动化系统,提供了一系列功能强大的工具,包括但不限于流程审批、文档管理、日程安排、协同办公、人事管理等,为企业提供了一个集成化的解决方案。OA 通过提高工作效率、降低运营成本、优化业务流程等方面,为企业带来了显著的商业价值。 02 漏洞
继续阅读标签: SQL注入
泛微e-cology ProcessOverRequestByXml接口存在任意文件读取漏洞
泛微e-cology ProcessOverRequestByXml接口存在任意文件读取漏洞 南风漏洞复现文库 南风漏洞复现文库 2024-04-11 23:45 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 泛微e-cology P
继续阅读【风险通告】Rust存在命令注入漏洞(CVE-2024-24576)
【风险通告】Rust存在命令注入漏洞(CVE-2024-24576) 安恒研究院 安恒信息CERT 2024-04-11 21:10 漏洞概述 漏洞名称 Rust存在命令注入漏洞(CVE-2024-24576) 安恒CERT评级 1级 CVSS3.1评分 10.0 CVE编号 CVE-2024-24576 CNVD编号 未分配 CNNVD编号 CNNVD-202404-1354 安恒CERT编号
继续阅读幽灵漏洞进阶版来了,影响 Intel、Linux、AMD……
幽灵漏洞进阶版来了,影响 Intel、Linux、AMD…… 小薯条 FreeBuf 2024-04-11 19:03 近日,网络安全研究人员披露了针对英特尔系统上 Linux 内核的首个原生 Spectre v2 漏洞,该漏洞是2018 年曝出的严重处理器「幽灵」(Spectre)漏洞 v2 衍生版本,利用该漏洞可以从内存中读取敏感数据,主要影响英特尔处理器 + Linu
继续阅读【安全圈】“幽灵漏洞”阴魂不散,v2 衍生版被发现:影响英特尔 CPU + Linux 组合设备
【安全圈】“幽灵漏洞”阴魂不散,v2 衍生版被发现:影响英特尔 CPU + Linux 组合设备 安全圈 2024-04-11 19:01 关键词 系统漏洞 还记得 2018 年曝出的严重处理器“幽灵”(Spectre)漏洞吗?网络安全专家近日发现了 Spectre v2 衍生版本,利用新的侧信道缺陷, 主要影响英特尔处理器 + Linux 发行版组合设备。 阿姆斯特丹 VU VUSec 安全团队
继续阅读CVE-2024-27980:关键 Node.js 更新修补 Windows 命令注入缺陷
CVE-2024-27980:关键 Node.js 更新修补 Windows 命令注入缺陷 Ots安全 2024-04-11 17:41 在 Windows 上未启用 shell 选项的情况下通过 child_process.spawn 的 args 参数进行命令注入 (CVE-2024-27980) – (HIGH) 由于child_process.spawn / child_pro
继续阅读Rust 命令注入漏洞(CVE-2024-24576)安全风险通告
Rust 命令注入漏洞(CVE-2024-24576)安全风险通告 奇安信 CERT 2024-04-11 17:40 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Rust 命令注入漏洞 漏洞编号 QVD-2024-13050,CVE-2024-24576 公开时间 2024-04-09 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 10.0 威胁类型 命令执行
继续阅读【漏洞通告】Rust命令注入漏洞CVE-2024-24576
【漏洞通告】Rust命令注入漏洞CVE-2024-24576 深瞳漏洞实验室 深信服千里目安全技术中心 2024-04-11 16:53 漏洞名称: Rust命令注入漏洞(CVE-2024-24576) 组件名称: Rust 影响范围: Rust < 1.77.2 漏洞类型: 远程代码执行 利用条件: 1、用户认证:否 2、前置条件:默认配置 3、触发方式:远程/本地均可利用 综合评价: &
继续阅读CVE-2024-25850
CVE-2024-25850 原创 fgz AI与网安 2024-04-11 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Netis WF2780 远程命令执行 漏洞 02 — 漏洞影响 Netis WF2780 v2.1.4014
继续阅读自定义BurpSuite漏洞扫描——BChecks
自定义BurpSuite漏洞扫描——BChecks 原创 hugwiki 和光同尘hugh 2024-04-10 23:12 Burp被动扫描-BCheck: 简单介绍: BCheck 是在较新的BurpSuite专业版版或企业版中新增的自定义漏洞检测功能,它可以帮助网络安全从业人员 创建和导入的自定义扫描检查,使得渗透测试更加的精确高效。BCheck可以是一个具有独特文件扩展名 .bcheck
继续阅读【漏洞预警】微软4月多个安全漏洞
【漏洞预警】微软4月多个安全漏洞 cexlife 飓风网络安全 2024-04-10 23:11 漏洞描述: 2024年4月9日,微软发布了4月安全更新,本次更新共修复了150个漏洞(不包含之前修复的Microsoft Edge 和Mariner漏洞),漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。本次安全更新中包含2个被积极利用的0 day
继续阅读【漏洞预警】Rust命令注入漏洞(CVE-2024-24576)
【漏洞预警】Rust命令注入漏洞(CVE-2024-24576) cexlife 飓风网络安全 2024-04-10 23:11 漏洞描述: Rust是一种通用、编译型编程语言,强调性能、类型安全和并发性,支持函数式、并发式、过程式以及面向对象的编程风格,近日监测到Rust标准库中存在命令注入漏洞(CVE-2024-24576,被称为BatBadBut),该漏洞的CVSS评分为10.0,可能在Wi
继续阅读科荣AIO ReadFile存在任意文件读取漏洞
科荣AIO ReadFile存在任意文件读取漏洞 南风徐来 南风漏洞复现文库 2024-04-10 21:07 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 科荣AIO ReadFile简介 微信公众号搜索:南风漏洞复现文库 该文章
继续阅读一次从子域名接管到RCE的经历
一次从子域名接管到RCE的经历 考不过刘乐琪不改 迪哥讲事 2024-04-10 21:00 一次从子域名接管到RCE的渗透经历 前言 本文接触过作者的一次奇妙的实战经历,从子域名接管到上传Shell提权,将信息泄露漏洞和xss漏洞最终发展成rce。本文由当时存在语雀中的零散的渗透记录整理,由于该次渗透距今已经有一段时间,而且厂商要求保密,所以本文属于思路复现。下文中的域名、DNS解析记录、IP等
继续阅读Rust一个满分漏洞可能允许Windows命令注入攻击
Rust一个满分漏洞可能允许Windows命令注入攻击 看雪学苑 看雪学苑 2024-04-10 18:00 4月9日,Rust安全响应工作组收到通知,Rust标准库在使用Command API在Windows上调用批处理文件(bat和cmd扩展名)时,未能正确转义参数。攻击者能够控制传递给生成进程的参数,通过绕过转义来执行任意shell命令。 该漏洞(CVE-2024-24576,CVSS评分为
继续阅读信息安全漏洞周报(2024年第15期)
信息安全漏洞周报(2024年第15期) CNNVD CNNVD安全动态 2024-04-10 17:27 点击蓝字 关注我们 根据国家信息安全漏 洞库(CNNVD)统计,本周(2024年4月1日至2024年4月7日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞763个。 接报漏洞情况 本周CNNVD接报漏洞5417个,其中信息技术产品漏洞(通用型漏洞)203个,网络信息系统漏洞(事
继续阅读注意 | 声称最安全的编程语言Rust存在严重漏洞,可导致 Windows 命令注入攻击
注意 | 声称最安全的编程语言Rust存在严重漏洞,可导致 Windows 命令注入攻击 安全客 2024-04-10 16:47 威胁行为者可以利用 Rust 标准库中的漏洞通过命令注入攻击 Windows 系统。该漏洞被追踪为CVE-2024-24576,是由于操作系统命令和参数注入中的弱点造成的,这可能允许攻击者在操作系统上执行意外且潜在的恶意命令。 GitHub 已将此漏洞评为CVSS得分
继续阅读Rust 严重漏洞可导致 Windows 命令注入攻击
Rust 严重漏洞可导致 Windows 命令注入攻击 Sergiu Gatlan 代码卫士 2024-04-10 15:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 攻击者可利用 Rust 标准库中的一个漏洞,攻击 Windows 系统,发动命令注入攻击。 该漏洞的编号是CVE-2024-24576,是由OS命令和参数注入弱点引发的,可导致攻击者在操作系统上执行异常以及潜在的恶意代
继续阅读微软2024年4月补丁日多个产品安全漏洞风险通告
微软2024年4月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2024-04-10 10:51 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年4月补丁日多个产品安全漏洞 影响产品 SQL Server、Microsoft Office、Windows Defender等。 公开时间 2024-4-10 影响对象数量级 千万级 奇安信评级 高危 利用可能性
继续阅读6款较流行的开源漏洞扫描工具推荐及特点分析
6款较流行的开源漏洞扫描工具推荐及特点分析 安全牛 2024-04-09 12:40 未修补的漏洞是网络犯罪分子最容易攻击的目标之一。 企业中很多的数据安全事件往往由于已知的漏洞造成的,尽管相关的安全补丁已经发布,但许多企业由于种种原因并不能及时发现并修补这些漏洞。 当组织想要开展全面且持续的漏洞扫描工作时,通常需要得到广泛的安全社区支持。在此过程中,安全人员可以借助一些的流行开源漏洞扫描工具。由
继续阅读记一次小程序渗透并拿到后台管理员权限-漏洞挖掘
记一次小程序渗透并拿到后台管理员权限-漏洞挖掘 漏洞挖掘 渗透安全HackTwo 2024-04-09 00:00 0x01 前言 在一次攻防演练打点过程中,前期先从备案查询、子域名收集、端口扫描等方式获取资产URL。其次对URL进行指纹识别,虽然发现了几个存在指纹的系统,但后续渗透发现漏洞已无法利用,漏洞已修。最后老实本分对微信小程序进行搜索行渗透,寻找突破口! 末尾可领取字典等
继续阅读某oa命令执行漏洞挖掘思路
某oa命令执行漏洞挖掘思路 中铁13层打工人 Hacking黑白红 2024-04-08 23:53 前段时间看到某系统爆出一个RCE,随后找到了源码对漏洞进行分析,并利用历史漏洞找到了其他突破点,进而找到新的漏洞。 前段时间看到某系统爆出一个RCE,随后找到了源码对漏洞进行分析,并利用历史漏洞找到了其他突破点,进而找到新的漏洞。 0x01 历史漏洞分析 首先来看一个历史漏洞,Ognl表达式注入导
继续阅读D-Link NAS设备nas_sharing.cgi接口存在远程命令执行漏洞CVE-2024-3273
D-Link NAS设备nas_sharing.cgi接口存在远程命令执行漏洞CVE-2024-3273 南风徐来 南风漏洞复现文库 2024-04-08 23:40 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. D-Link NAS
继续阅读畅捷通TPlus App_Code.ashx存在远程命令执行漏洞
畅捷通TPlus App_Code.ashx存在远程命令执行漏洞 南风漏洞复现文库 南风漏洞复现文库 2024-04-08 23:40 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 畅捷通TPlus App_Code.ashx简介 微
继续阅读【漏洞预警】Adobe Magento Open Source命令注入漏洞(CVE-2024-20720)
【漏洞预警】Adobe Magento Open Source命令注入漏洞(CVE-2024-20720) cexlife 飓风网络安全 2024-04-08 23:14 漏洞描述:Adobe Magento Open Source是Adobe公司的一套开源的PHP电子商务系统,该系统提供权限管理、搜索引擎和支付网关等功能,近日监测到威胁者正在利用AdobeMagentoOpenSource命令注
继续阅读上周关注度较高的产品安全漏洞(20240401-20240407)
上周关注度较高的产品安全漏洞(20240401-20240407) 原创 CNVD CNVD漏洞平台 2024-04-08 18:55 一、境外厂商产品 漏洞 1、Apache Fineract SQL注入漏洞(CNVD-2024-16106) Apache Fineract是美国阿帕奇(Apache)基金会的一套开源数字金融服务平台。该平台能够为用户提供数据管理、贷款和储蓄投资组合管理以及实时财
继续阅读dst-admin饥荒管理后台相关漏洞合集
dst-admin饥荒管理后台相关漏洞合集 无问 巢安实验室 2024-04-07 21:30 0x01 产品简介 dst-admin饥荒管理后台是qinming99个人开发者的一个用 Java 语言编写的 web 程序。 0x02 漏洞概述 dst-admin饥荒管理后台kickPlayer、cavesConsole、sendBroadcast等接口处配置不当,导致破解口令后的攻击者可以进行命令
继续阅读【漏洞预警】Progress Flowmon命令注入漏洞(CVE-2024-2389)
【漏洞预警】Progress Flowmon命令注入漏洞(CVE-2024-2389) cexlife 飓风网络安全 2024-04-07 21:13 漏洞概述:Progress Software的Flowmon是一种网络监控和安全解决方案,可帮助企业和组织监控、分析和保护其网络,近日监测到Progress Flowmon中存在一个命令注入漏洞(CVE-2024-2389),该漏洞的CVSS评分为
继续阅读实战 | 教育SRC漏洞挖掘获取rank以及证书获取
实战 | 教育SRC漏洞挖掘获取rank以及证书获取 天启互联网实验室 2024-04-07 20:23 在2023年3月份的时候写了一篇【教育src漏洞挖掘获取rank以及证书获取 】的文章, 主要是说了如何进行漏洞挖掘获取足够多的积分,时隔一年,这次说说怎么快速获取证书站的漏洞! 守株待兔法 将有证书学校的站点的重要资产先收集起来,等到别人发1day或者未公开的day时,可以在收集的资产中进行
继续阅读漏洞挖掘 | 某证书站Bypass sql
漏洞挖掘 | 某证书站Bypass sql 原创 zkaq-不是川北 掌控安全EDU 2024-04-04 12:03 扫码领资料 获网安教程 本文由掌控安全学院 – 不是川北 投稿 信息收集 edu证书站这么多年已经被各种大佬轮了不下几十遍了,所以各种思路也是被玩烂了。现在无非这几种方法: 找账号进统一系统—–>找各种洞 子域名,ip旁站 搞vpn账号打内网 公众号小程序
继续阅读