记一次某大学的漏洞挖掘
记一次某大学的漏洞挖掘 原创 zkaq-徐来. 掌控安全EDU 2025-03-02 04:01 扫码领资料 获网安教程 本文由掌控安全学院 – 徐来. 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 宇宙免责声明!!! 本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的;文中讨论的所有案例和技术均旨在帮助读者更好地理解
继续阅读标签: vx
实战一次完整的博彩渗透测试
实战一次完整的博彩渗透测试 WK安全 2025-03-02 01:02 技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!! 一、信息收集 1.锁定网站:xx.
继续阅读URL 重定向:利用开放 URL 重定向漏洞的完整指南
URL 重定向:利用开放 URL 重定向漏洞的完整指南 原创 visionsec 安全视安 2025-03-01 18:21 开放 URL 重定向漏洞很容易找到,因为它们在应用程序中很常见。这种漏洞类型通常也被认为是一个唾手可得的果实。但是,随着现代应用程序变得越来越复杂,漏洞也越来越复杂。这也使得将这些唾手可得的成果升级为更严重的安全问题成为可能。正如我们已经看到如何将 XSS 升级为远程代码执
继续阅读漏洞挖掘小工具 — SeeMore(3月1日更新)
漏洞挖掘小工具 — SeeMore(3月1日更新) Bbdolt Web安全工具库 2025-03-01 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系
继续阅读被动扫描的fastjson漏洞探测插件 — FastjsonScan4Burp(2月28日更新)
被动扫描的fastjson漏洞探测插件 — FastjsonScan4Burp(2月28日更新) Niiiiko 网络安全者 2025-03-01 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任
继续阅读黑客利用旧版 ThinkPHP 和 ownCloud 漏洞攻击量激增
黑客利用旧版 ThinkPHP 和 ownCloud 漏洞攻击量激增 Rhinoer 犀牛安全 2025-03-01 16:00 我们发现黑客试图攻击那些容易受到 2022 年和 2023 年旧安全问题影响的维护不善的设备。 威胁监控平台 GreyNoise 报告称,利用 CVE-2022-47945 和 CVE-2023-49103 的攻击行为者数量激增 ,这会影响 ThinkPHP 框架和用
继续阅读Check Point Security Gateways 安全网关存在任意文件读取漏洞CVE-2024-24919 【老洞】
Check Point Security Gateways 安全网关存在任意文件读取漏洞CVE-2024-24919 【老洞】 2025-3-1更新 南风漏洞复现文库 2025-03-01 15:04 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
继续阅读【工具】一个综合类型的AI大模型应用网站:Monica
【工具】一个综合类型的AI大模型应用网站:Monica 原创 丁爸 丁爸 情报分析师的工具箱 2025-03-01 13:12 今天给大家推送一个综合类型的AI大模型应用网站:Monica 官网地址:https://monica.im/ Monica 是一个由 ChatGPT API 提供支持的 Chrome 扩展,旨在成为您轻松聊天和撰写文案的个人 AI 助手。 您可以免费使用 Monica。免
继续阅读黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告
黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告 Ots安全 2025-03-01 11:20 我是如何意外发现互联网上最常被利用的 XSS 漏洞之一的 我的故事开头可能和许多技术博客的读者一样熟悉——又是一个独自坐在电脑前,平淡无奇的夜晚。出于纯粹的学习目的,我打开了一个 Chrome 隐身窗口,进入 Google,输入了“
继续阅读CVE-2025-25065|Zimbra存在SSRF漏洞
CVE-2025-25065|Zimbra存在SSRF漏洞 alicy 信安百科 2025-03-01 10:01 0x00 前言 Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。 Zimbra的核心产品是Zimbra协作套件(Zimbr
继续阅读CVE-2025-26794|Exim存在SQL注入漏洞
CVE-2025-26794|Exim存在SQL注入漏洞 alicy 信安百科 2025-03-01 10:01 0x00 前言 Exim是基于GPL协议的开源软件,由英国剑桥大学的Philip Hazel开发。Exim 是一个MTA(邮件传输代理) ,负责邮件的路由,转发和投递。Exim可运行于绝大多数的类 UNIX 系统上,包括了 Solaris、AIX、Linux 等。 0x01 漏洞描述
继续阅读更新第3章!系统0day安全-Windows平台漏洞挖掘(第5期)
更新第3章!系统0day安全-Windows平台漏洞挖掘(第5期) 小雪 看雪学苑 2025-03-01 09:59 更新: 3.1 Syscall,Deviceloctrol原理讲解https://www.kanxue.com/book-194-5253.htm Windows操作系统广泛应用于各类企业和个人设备中,其安全性至关重要。 · 课程介绍 本课程将深入探讨Windows平台的漏洞挖掘技
继续阅读Caldera:CVE-2025–27364,你给个不能用的POC,把我们这些脚本小子都给气笑了
Caldera:CVE-2025–27364,你给个不能用的POC,把我们这些脚本小子都给气笑了 原创 JSec 悟盾 2025-03-01 08:56 CVE-2025–27364 caldera 远程命令执行漏洞 挂一个漏洞描述原文链接 https://medium.com/@mitrecaldera/mitre-caldera-security-advisory-remote-code-e
继续阅读【安全预警】Hisense-智能公交企业管理系统 AdjustWorkHours.aspx 存在SQL注入漏洞
【安全预警】Hisense-智能公交企业管理系统 AdjustWorkHours.aspx 存在SQL注入漏洞 hyuya 安全卫士小帮手 2025-03-01 05:32 来源:https://www.ddpoc.com/DVB-2024-8494.html 产商已修复,未更新补丁的请及时更新补丁,验证脚本和方式星球内自取
继续阅读【6-2w$赏金】我的微软漏洞赏金 – 大结局
【6-2w$赏金】我的微软漏洞赏金 – 大结局 原创 M1n9K1n9 APT250 2025-03-01 04:36 按照我的个人习惯,致谢和结语放文章开头,谢谢。 致谢 我叫做鸣王(M1n9K1n9),原名冯家鸣,来自广东工贸职业技术学院,同时也是网络安全职业选手、未来的职业漂移赛车手、QQ飞车娱乐选手,等等等等 感谢TryHackMe和htba等国际网络安全平台/团队/企业,使我
继续阅读十几万个漏洞POC,直接梭哈
十几万个漏洞POC,直接梭哈 菜鸟小新 2025-03-01 03:23 POC (Proof of Concept)是指漏洞证明,它通过一段描述或一个样例来证明漏洞确实存在。POC通常用于检测系统或应用程序中是否存在某个特定的漏洞。它是安全研究人员在发现漏洞后,向开发者或相关方展示漏洞存在的有效手段。 POC的作用 POC的主要作用是验证漏洞的存在,并展示漏洞的利用方式。通过POC,安全研究人员
继续阅读S2-005远程代码执行漏洞
S2-005远程代码执行漏洞 原创 Hacker 0xh4ck3r 2025-03-01 02:19 S2-005远程代码执行漏洞 漏洞发现 通过网页后缀来发现是否为xxx.do 或xxx.action ,有的需要抓包看提交的请求链接是否存在以上两种情况,有的是在返回的链接上。 漏洞成因 服务器使用OGNL表达式%{value}解析每个请求参数名。OGNL表达式通过#来访问struts的对象,st
继续阅读审计分析 | 一套”组合拳”造成文件上传漏洞
审计分析 | 一套”组合拳”造成文件上传漏洞 实战安全研究 2025-03-01 02:00 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 本文是记录一次利用”组合拳”拿下OA系统文
继续阅读2024年网络安全漏洞态势报告
2024年网络安全漏洞态势报告 计算机与网络安全 2025-03-01 01:57 扫码加入知识星球: 网络安全攻防(HVV) 下载全套资料 | 来源:新华三
继续阅读工具集:Java Chains【 Java 漏洞利用综合生成平台】
工具集:Java Chains【 Java 漏洞利用综合生成平台】 wolven 风铃Sec 2025-03-01 01:20 工具介绍 Java-Chains 是一个 Java Payload 生成与漏洞利用 Web 平台,便于广大安全研究员快速生成 Java Payload,以及对 JNDI 注入、MySQL JDBC 反序列化、JRMP 反序列化等漏洞进行方便快速测试,能够在一定程度上提高
继续阅读针对Swagger接口泄露未授权访问的各种姿势
针对Swagger接口泄露未授权访问的各种姿势 原创 神农Sec 神农Sec 2025-03-01 01:00 扫码领资料 获网安教程 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 加内部圈子,文末有彩蛋 (知识星球 优惠卷)。 0x1 前言 这篇文章的话主要是给师傅们
继续阅读【漏洞复现】可以白嫖别人的AI模型了?你的被白嫖了吗(Ollama)
【漏洞复现】可以白嫖别人的AI模型了?你的被白嫖了吗(Ollama) 小C学安全 小C学安全 2025-03-01 00:06 免责申明 本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本
继续阅读记录一个src挖掘的骚思路
记录一个src挖掘的骚思路 原创 深潜sec安全团队 深潜sec安全团队 2025-03-01 00:06 前要 现在入行src的人太多了,很多思路已经陷入闭环不是那么好挖,我在很久以前在国外众测挖掘的时候,经常见到不要的漏洞里面有一个SPF,我就比较好奇,然后深入了解后,发现确实也有一些危害,而且国内确实没有人交过一方面的东西,结果一交,确实收获了一些赏金,这里大概是在24年初的时候,只交了4家
继续阅读漏洞预警 | Elber Wayber模拟数字音频密码重置漏洞
漏洞预警 | Elber Wayber模拟数字音频密码重置漏洞 浅安 浅安安全 2025-03-01 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 Elber wayber是一家专注于音频技术解决方案的公司,提供高质量的模拟和数字音频Q设备,广泛应用于专业录音、广播、现场演出和多媒体制作等领域。 0x03 漏洞详情 漏洞类型
继续阅读漏洞预警 | 脸爱云一脸通智慧平台信息泄露漏洞
漏洞预警 | 脸爱云一脸通智慧平台信息泄露漏洞 浅安 浅安安全 2025-03-01 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 脸爱云一脸通智慧管理平台是一套功能强大,运行稳定,操作简单方便,用户界面美观,轻松统计数据的一脸通系统。 0x03 漏洞详情 漏洞类型: 信息泄露 影响: 获取敏感信息**** 简述: 脸爱云一
继续阅读漏洞预警 | 金和OA SQL注入漏洞
漏洞预警 | 金和OA SQL注入漏洞 浅安 浅安安全 2025-03-01 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。 0x03 漏洞详情 漏洞类型: SQL注入 影
继续阅读方正畅享全媒体新闻采编系统reportCenter.do/screen.do接口存在SQL注入 漏洞预警
方正畅享全媒体新闻采编系统reportCenter.do/screen.do接口存在SQL注入 漏洞预警 2025-2-28更新 南风漏洞复现文库 2025-02-28 22:22 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 方正畅
继续阅读POC 管理工具AI版
POC 管理工具AI版 原创 hugh 和光同尘hugh 2025-02-28 16:15 还在傻傻的自己动手写poc吗,不如试试这个!!! 基于AI 用于 Afrog poc 的生成 管理 和测试,构建自己的漏洞库 afrog poc (AI 生成 ) ———>资产搜索(获取验证目标)——>漏洞验证(验证是否可用)——>POC管理 完美闭环! 使用示例: 1、生成poc 2、
继续阅读DVR-登录绕过漏洞-CVE-2018-9995
DVR-登录绕过漏洞-CVE-2018-9995 原创 骇客安全 骇客安全 2025-02-28 16:01 漏洞描述 DVR,全称为Digital Video Recorder(硬盘录像机),即数字视频录像机。最初由阿根廷研究员发现,通过使用“Cookie: uid = admin”的Cookie标头来访问特定DVR的控制面板,DVR将以明文形式响应设备的管理员凭证。 漏洞影响 Novo CeN
继续阅读如何修复常见的WEB漏洞
如何修复常见的WEB漏洞 xsser xsser的博客 2025-02-28 15:24 常见Web漏洞修复解决方案 一、SQL注入漏洞 漏洞原理 攻击者通过构造恶意输入篡改SQL语句逻辑,绕过身份验证或直接操纵数据库。例如,输入 ‘ OR 1=1– 使查询条件恒为真,泄露全表数据。 虚构修复方案 动态语法树重组(Dynamic Syntax Tree Reshaping, DSTR
继续阅读