标签: vx

春秋云镜靶场Initial_WP

发布于 作者:

春秋云镜靶场Initial_WP 原创 t3 ZeroPointZero安全团队 2025-02-08 06:34 此靶机只需要交一个 flag ,而把这个 flag 分成 3 段,分别位于每个靶机的用户下. FLAG1: 访问服务可以看见映入眼帘的ThinkPhP框架 直接掏出我们的Thinkphp一把梭工具,造! 成功连上webshell后进行简单信息收集,发现mysql数据库root是无需密

继续阅读

信息安全漏洞周报(2025年第4期)

发布于 作者:

信息安全漏洞周报(2025年第4期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月20日至2025年1月26日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞875个。 接报漏洞情况 本周CNNVD接报漏洞13934个,其中信息技术产品漏洞(通用型漏洞)27

继续阅读

信息安全漏洞周报(2025年第5期)

发布于 作者:

信息安全漏洞周报(2025年第5期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月27日至2025年2月2日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞750个。 接报漏洞情况 本周CNNVD接报漏洞8296个,其中信息技术产品漏洞(通用型漏洞)15个,网络信息

继续阅读

XSS漏洞挖掘插件

发布于 作者:

XSS漏洞挖掘插件 黑白之道 2025-02-08 06:09 工具介绍 对<a herf标签和form表单中的参数进行遍历 功能特性 根据自己提供的xsspayload进行批量测试,默认使用的是 分析页面可以利用的参数:有action属性的form表单,a标签herf属性值 安装使用 安装插件:将插件文件夹托到浏览器的扩展程序中就ok了(目前只支持chrome内核的浏览器)。 使用插件:点

继续阅读

XSS漏洞挖掘上

发布于 作者:

XSS漏洞挖掘上 GG安全 2025-02-08 05:53 免责声明 由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此 承担任何责任,一旦造成后果请自行承担!本文为连载文章欢迎大家关注红云谈安全公众号! XSS漏洞挖掘 XSS漏洞最简单的理解就是将我们输入的内容解析为HTML 像下面的案例就不存在xss漏洞,因为你

继续阅读

【0day】码支付系统存在前台任意文件读取漏洞

发布于 作者:

【0day】码支付系统存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2025-02-08 04:53 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 码支付是基于php开发的一套新型聚合收款、聚合支付系统,是一款专业的聚合免签收款系统,无需对接其余平台,个码就可收款,灰常的方便快捷,集成实现三网免挂功能,无需挂繁琐的监控软件就可实现回调,更便捷的监控方式,更优的产品质量. Fofa

继续阅读

某系统webpack接口泄露引发的一系列漏洞

发布于 作者:

某系统webpack接口泄露引发的一系列漏洞 原创 zkaq – 腾风起 掌控安全EDU 2025-02-08 04:03 扫码领资料 获网安教程 本文由掌控安全学院 – 腾风起 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 信息搜集 这里找到从小穿一条裤子长大的兄弟,要挟他交出来他的统一账号,否则把小时候的照片挂网上

继续阅读

从《哪吒之魔童闹海》看生物特征识别技术在网络安全中的应用

发布于 作者:

从《哪吒之魔童闹海》看生物特征识别技术在网络安全中的应用 原创 sanlihesec 独角鲸网络安全实验室 2025-02-08 03:51 大家好!今天,我想和大家聊聊一个非常有趣的话题,它源于最近大火的电影《哪吒2》。你们还记得那个情节吗?无量仙翁去天牢,结果需要扫脸才能打开门。这本来是个高科技的设定,但问题来了,之前他被哪吒和敖丙揍得很惨,脸都变形了,系统直接识别不了。没办法,只能重新录入现

继续阅读

【一周安全资讯0208】国家数据局《数据领域常用名词解释 (第二批)》公开征求意见;微软 Outlook 被曝高危漏洞

发布于 作者:

【一周安全资讯0208】国家数据局《数据领域常用名词解释 (第二批)》公开征求意见;微软 Outlook 被曝高危漏洞 聚铭网络 2025-02-08 03:18 WEEKLY NEWS 每周安全资讯 新鲜资讯热点都在这里 要闻速览 1 国家数据局《数据领域常用名词解释 (第二批)》公开征求意见 2 重磅!我国启动抗量子加密算法征集活动 3 发现2650个DeepSeek山寨域名,网络安全风险警示

继续阅读

西联软件-移动门店管理系统 StreamToFile 任意文件上传漏洞

发布于 作者:

西联软件-移动门店管理系统 StreamToFile 任意文件上传漏洞 Superhero nday POC 2025-02-08 03:03 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立

继续阅读

锐捷系统auth接口处存在远程命令执行漏洞【漏洞复现|附nuclei-POC】

发布于 作者:

锐捷系统auth接口处存在远程命令执行漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2025-02-08 02:50 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 锐捷系统auth接口处存在远程命令执行漏洞。 攻击者 可能利用此

继续阅读

黑客利用SimpleHelp RMM漏洞实现持久访问并部署勒索软件

发布于 作者:

黑客利用SimpleHelp RMM漏洞实现持久访问并部署勒索软件 邑安科技 邑安全 2025-02-08 02:36 更多全球网络安全资讯尽在邑安全 据观察,威胁行为者利用 SimpleHelp 远程监控和管理 (RMM) 软件中最近披露的安全漏洞作为似乎是勒索软件攻击的前兆。 某网络安全公司的在新闻报道中表示,此次入侵利用了现已修复的漏洞,初步获取了对某个未公开目标网络的访问权限,并维持了持久

继续阅读

2025我希望大家的钱包更充实一点 SRC漏洞挖掘培训

发布于 作者:

2025我希望大家的钱包更充实一点 SRC漏洞挖掘培训 EnhancerSec 2025-02-08 02:02 前言 SRC是安全应急响应平台,我们可以向他们提交漏洞,以此来换取赏金。 在经济下行的2025年,我们都希望大家能够在工作之余通过副业充实自己的钱包。通过向SRC平台提交漏洞换取赏金不外乎是一个不错的选择,我们有十余年培训经验的讲师帮助基础薄弱或零基础的同学巩固基础,有在SRC漏洞挖掘

继续阅读

网神SecFox运维安全管理与审计系统 FastJson反序列化RCE漏洞

发布于 作者:

网神SecFox运维安全管理与审计系统 FastJson反序列化RCE漏洞 Superhero nday POC 2025-02-08 01:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们

继续阅读

.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞

发布于 作者:

.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-08 01:35 文件上传功能是 Web 应用中非常重要且敏感的部分,如果缺乏完善的安全控制,极易成为攻击者利用的突破口。本文通过对 .NET 某 ERP 系统的两个文件上传功能进行代码审计与漏洞分析,揭示了潜在的任意文件上传风险及其危害。 01. 漏洞代码审计 在渗透测

继续阅读

渗透测试 | 文件读取漏洞实战利用

发布于 作者:

渗透测试 | 文件读取漏洞实战利用 subjcw 神农Sec 2025-02-08 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/share/4017 作者:subjcw 0x1 Nginx配置文件利用 第一处文件读取

继续阅读

Solr 文件上传路径遍历漏洞(CVE-2024-52012)分析漏洞成因

发布于 作者:

Solr 文件上传路径遍历漏洞(CVE-2024-52012)分析漏洞成因 原创 安全圈我最菜wu 安全圈我最菜wu 2025-02-07 16:24 该漏洞影响运行于 Windows 系统 的 Solr 实例,核心问题在于其  configset 上传 API  对上传的 ZIP 文件未进行严格的路径合法性校验。攻击者可通过构造包含 相对路径(如  ../ ) 的恶意 ZIP 文件,将文件写入系

继续阅读

APP渗透测试 — ZipEntry漏洞

发布于 作者:

APP渗透测试 — ZipEntry漏洞 网络安全者 2025-02-07 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: 链接:https://pan.quark.cn/s/eaad210c3229 00:00 – APP安全检测及on chip解压缩漏洞解析 对话首先介绍了通过在线工具如360、腾讯等对APK文件进行静态分析的检测方法,以及这些方法可能

继续阅读

网络摄像头漏洞审计 — ipcsuite(2月6日更新)

发布于 作者:

网络摄像头漏洞审计 — ipcsuite(2月6日更新) PrismName 网络安全者 2025-02-07 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权

继续阅读

黑客利用 Aviatrix Controller RCE 关键漏洞发起攻击

发布于 作者:

黑客利用 Aviatrix Controller RCE 关键漏洞发起攻击 Rhinoer 犀牛安全 2025-02-07 16:00 攻击者正在利用 Aviatrix Controller 实例中一个严重的远程命令执行漏洞(CVE-2024-50603)来安装后门和加密矿工。 Aviatrix 控制器是 Aviatrix 云网络平台的一部分,可增强多云环境的网络、安全性和运营可视性。它可供企业、

继续阅读

Google 是如何做漏洞管理的?

发布于 作者:

Google 是如何做漏洞管理的? 原创 tonghuaroot RedTeam 2025-02-07 14:35 前言 凌晨3点,又收到 200 条漏洞告警,先修哪个?修慢了被黑客利用怎么办?修错了业务挂了谁背锅? 这可能是无数企业信息安全建设者的噩梦。随着业务的不断发展变化,漏洞数量呈指数级增长,传统”救火式”漏洞应急响应早已失效。 修复漏洞的速度永远赶不上攻击者的步伐

继续阅读

深入了解宽字节注入漏洞

发布于 作者:

深入了解宽字节注入漏洞 Lynn逸 小趴菜网安学习路 2025-02-07 14:22 后台回复 宽字节注入 领pdf版本 “22年笔记” 1.基本概念 – 宽字节是相对于ascII这样单字节而言的;两个ascii单字节组合为双字节; 像GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节,实际上只有两字节。 GBK是一种多字

继续阅读

Microsoft Outlook高危在野漏洞正被积极利用

发布于 作者:

Microsoft Outlook高危在野漏洞正被积极利用 SecHaven 赛哈文 2025-02-07 13:04 Microsoft Outlook 中的一个严重漏洞(跟踪为 CVE-2024-21413)正在被广泛利用,对全球组织构成重大威胁。此漏洞的 CVSS 评分为 9.8 分(满分 10 分),允许攻击者远程执行任意代码,只需用户打开恶意电子邮件即可。 该漏洞由 Check Poin

继续阅读

微软Outlook严重漏洞

发布于 作者:

微软Outlook严重漏洞 网安百色 2025-02-07 11:50 点击上方 蓝字 关注我们吧~ 该漏洞由 Check Point 漏洞研究员 Haifei Li 发现并跟踪为 CVE-2024-21413,该漏洞是由于使用易受攻击的 Outlook 版本打开带有恶意链接的电子邮件时输入验证不当造成的。 攻击者获得了远程代码执行能力,该漏洞允许绕过受保护视图(该视图应该通过以只读模式打开来阻止

继续阅读

【漏洞预警】Apache Struts2代码注入漏洞

发布于 作者:

【漏洞预警】Apache Struts2代码注入漏洞 cexlife 飓风网络安全 2025-02-07 11:39 漏洞详情: Nginx官方发布安全公告,披露了Nginx Plus和Nginx Open Source中存在的一处凭证管理不当漏洞,该漏洞是由于当基于名称的虚拟主机配置为使用TLS 1.3和OpenSSL共享相同的IP地址和端口组合时,先前经过身份验证的攻击者可以使用会话恢复来绕过

继续阅读