通过高效的侦察发现关键漏洞接管整个IT基础设施
通过高效的侦察发现关键漏洞接管整个IT基础设施 白帽子左一 白帽子左一 2025-01-13 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 在这篇文章中, 我将深入探讨我是如何通过详细分析和利用暴露的端点、硬编码的凭据以及配置错误的访问控制,成功获取目标组织关键IT基础设施和云服务访问权限的全过程。 我们先提到
继续阅读标签: vx
章管家前台任意文件上传漏洞(XVE-2024-19042)
章管家前台任意文件上传漏洞(XVE-2024-19042) 原创 Hacker 0xh4ck3r 2025-01-13 04:00 章管家前台任意文件上传漏洞(XVE-2024-19042) 章管家是上海建业信息科技股份有限公司推出的一款针对传统印章风险管理提供的整套解决方案的工具。 该系统存在前台任意文件上传漏洞,攻击者成功利用该漏洞可以上传任意文件,从而获得服务器权限。 fofa app=&q
继续阅读【漏洞复现】科荣AIO系统存在代码执行漏洞
【漏洞复现】科荣AIO系统存在代码执行漏洞 devildollking 新势界NewFrontier 2025-01-13 03:01 免责声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。公众号现在只对常读和星标的公众号才展
继续阅读【文中抽奖】一杯奶茶钱开挣生活费 SRC漏洞挖掘基础及赏金培训
【文中抽奖】一杯奶茶钱开挣生活费 SRC漏洞挖掘基础及赏金培训 EnhancerSec 2025-01-13 02:00 前言 公众号后台包括身边的朋友有很多私信我的,有很多想入行SRC挖掘挣个生活费或者当个全职赏金猎人。为此,我们决定开展相关培训,便有了这篇文章。零基础的师傅可以选择《 Web安全漏洞基础篇 》,有基础的师傅可以选择《WEB安全&业务漏洞挖掘赏金篇》。 Web安全漏洞基础
继续阅读记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析
记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析 黑白之道 2025-01-13 01:59 原文首发在:先知社区 https://xz.aliyun.com/t/16959 登陆 我这边首先找到的是一个文件上传的登陆框 测试了一下sql注入之类的,发现没有 目录扫描 看到api爆出200 ok的那一刻我的心情是激动的,感觉要有很多接口泄露了 一堆ashx文件加上一个UEditor的组件,
继续阅读泛微-云桥e-Bridge addTasteJsonp SQL注入漏洞
泛微-云桥e-Bridge addTasteJsonp SQL注入漏洞 Superhero nday POC 2025-01-13 01:19 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读一次敏感信息泄露引发的逻辑漏洞挖掘
一次敏感信息泄露引发的逻辑漏洞挖掘 菜狗 富贵安全 2025-01-13 01:18 根据手头上的信息,最大化的利用,一次简单的漏洞挖掘,感觉过程很有意思分享一下~ 0x01初始 收集子域,也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面,深入然后发现很多的敏感信息。也是从其中的一处敏感泄露,引发了众多漏洞的挖掘。整个测试其实就花了半个小时不到。
继续阅读GitHub 上的虚假 LDAPNightmware 漏洞投放信息窃取恶意软件
GitHub 上的虚假 LDAPNightmware 漏洞投放信息窃取恶意软件 会杀毒的单反狗 军哥网络安全读报 2025-01-13 01:01 导读 GitHub 上针对 CVE-2024-49113(又名“LDAPNightmare”)的欺骗性概念验证 (PoC) 漏洞利用通过信息窃取恶意软件感染用户,该恶意软件会将敏感数据泄露到外部 FTP 服务器。 这种策略并不新颖,因为在 GitHub
继续阅读Java漏洞集合工具更新2.0
Java漏洞集合工具更新2.0 pureqh 夜组安全 2025-01-13 00:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya 朋友们现在只对常读和星标的公
继续阅读工具 | WExploit
工具 | WExploit 浅安 浅安安全 2025-01-13 00:01 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 WExploit是一款基于java开发的漏洞检测工具。 0x01 功能说明 – Struts2 ThinkPHP 海康威视 泛微OA 用友OA 致远OA 红帆OA 万户OA
继续阅读漏洞预警 | 圣乔ERP系统任意文件读取漏洞
漏洞预警 | 圣乔ERP系统任意文件读取漏洞 浅安 浅安安全 2025-01-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 互慧急诊综合管理平台是用于管理门诊急诊病人的系统,主要包括门诊急诊业务和急诊物资管理两部分。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 窃取敏感信息 简述: 互慧急诊综合管理平台的/d
继续阅读漏洞预警 | 快云服务器助手任意文件读取漏洞
漏洞预警 | 快云服务器助手任意文件读取漏洞 浅安 浅安安全 2025-01-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 快云服务器助手是一款针对云计算环境下的服务器管理与监控工具,旨在帮助企业用户更加便捷、高效地管理其云服务器。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 快云服务器
继续阅读漏洞预警 | 朗速ERP SSRF漏洞
漏洞预警 | 朗速ERP SSRF漏洞 浅安 浅安安全 2025-01-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 朗速ERP是一款由朗速科技推出的企业资源计划软件,旨在帮助企业实现资源的高效管理和全面优化。 0x03 漏洞详情 漏洞类型: SSRF 影响: 上传恶意文件**** 简述: 朗速ERP的/Api/UEd
继续阅读5G+AI+信创,深度揭秘智慧矿山工业控制网络构建之道
5G+AI+信创,深度揭秘智慧矿山工业控制网络构建之道 原创 产品与解决方案部 威努特安全网络 2025-01-13 00:00 01 前 言 依据《关于加快煤矿智能化发展的指导意见》,按照 “智能化煤矿应建设高速高可靠的通信网络”的建设目标,实现终端机械化、系统自动化、综合智能化、管理信息化的建设方向,明确了矿井信息化建设的总体思路是,实现定位前瞻、高效实用,深度融合、标准统一,分区建设、集中
继续阅读Bp神级插件:二次开发,让API漏洞挖掘,效率倍增!
Bp神级插件:二次开发,让API漏洞挖掘,效率倍增! 原创 ZYC 无尽藏攻防实验室 2025-01-13 00:00 网络安全为人民 师傅们好👋:本公众号现在已开启对常读和星标的公众号展示大图推送,为了不错过我们的网络安全干货,请星标🌟我们。这样,您就能快速掌握最新动态,与我们共同守护网络空间!感谢您的关注和支持!💖 工具介绍 APIKit 是 APISecurity社区 发布的第一个开源项目。
继续阅读CVE-2025-22777 (CVSS 9.8):WordPress | GiveWP 插件的严重漏洞
CVE-2025-22777 (CVSS 9.8):WordPress | GiveWP 插件的严重漏洞 夜组科技圈 2025-01-13 00:00 公众号现在只对常读和星标的才展示大图推送, 建议大家把 夜组科技圈 设为 星标 ,接收一手资讯! 漏洞描述 GiveWP 插件中发现了一个严重漏洞,该插件是 WordPress 最广泛使用的在线捐赠和筹款工具之一。该漏洞的编号为 CVE-2025-
继续阅读研究人员披露了三星一个现已修复的零点击漏洞的细节
研究人员披露了三星一个现已修复的零点击漏洞的细节 鹏鹏同学 黑猫安全 2025-01-12 23:05 Google Project Zero研究人员披露了三星一个现已修复的零点击漏洞的细节,这个漏洞被追踪为CVE-2024-49415(CVSS分数:8.1),影响三星设备。这是一个libsaped.so prior to SMR Dec-2024 Release 1中的出界写入问题,它允许远程攻
继续阅读什么是重保?期间都做些什么?有哪些重要影响?
什么是重保?期间都做些什么?有哪些重要影响? 原创 洁说安全 网络安全和等保测评 2025-01-12 23:00 重保即重点保障时期,通常是指在一些重大活动、关键敏感时期,为了确保特定范围内的网络安全、信息系统稳定运行、关键基础设施安全等所采取的一系列强化保障措施的阶段。 重保期间所做的主要工作如下: 安全监测方面 1.网络流量监测 利用专业的网络流量分析工具,7×24 小时不间断地对进出网络的
继续阅读记一次某SRC信息管理系统多个漏洞组合Getshell|挖洞技巧
记一次某SRC信息管理系统多个漏洞组合Getshell|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2025-01-12 16:00 0x01 前言 记一次某SRC信息管理系统多个漏洞组合Getshell,并已提交至 SRC 平台修复。过程包括发现未授权访问漏洞、利用 SQL 注入获取邮箱账号、爆破弱口令登录后台、利用目录遍历漏洞找到上传路径,并通过条件竞争成功绕过黑名单上传 we
继续阅读网络安全领域研究人员遭遇假PoC专项攻击
网络安全领域研究人员遭遇假PoC专项攻击 BaizeSec 白泽安全实验室 2025-01-12 15:36 一、事件概述 近期,网络安全领域接连曝出针对研究人员的假PoC(概念验证)攻击事件,引发业界高度关注。2024年12月,微软在当月的补丁星期二更新中修复了两个关键的LDAP漏洞,分别是CVE-2024-49112和CVE-2024-49113。其中,CVE-2024-49113是一个拒绝服
继续阅读SSRF 漏洞自动化 寻找
SSRF 漏洞自动化 寻找 真爱和自由 迪哥讲事 2025-01-12 13:40 环境搭建 下载项目https://github.com/l4yn3/micro_service_seclab 然后放入 IDEA 即可,之后运行 这里主要研究 SSRFSSRF 的漏洞代码 但是这个不太明显我修改了一下这样更好观察 成功 漏洞分析 我们首先需要看明白造成 SSRF 漏洞的类型 HttpURLConn
继续阅读JeecgBoot passwordChange 任意用户密码重置漏洞
JeecgBoot passwordChange 任意用户密码重置漏洞 Superhero nday POC 2025-01-12 13:39 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读【安全工具】一款免费的APP IOS抓包工具 支持Flutter应用抓包|漏洞探测
【安全工具】一款免费的APP IOS抓包工具 支持Flutter应用抓包|漏洞探测 wanghongenpin 黑客白帽子 2025-01-12 13:01 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ **【公告241027】回复关键字没有回复,如何获取方法**** 0x01 工具介绍 ProxyPin 是一
继续阅读【漏洞复现】CVE-2024-50603
【漏洞复现】CVE-2024-50603 混子Hacker 混子Hacker 2025-01-12 12:54 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 越努力越幸运 —— CVE-2024-50603 Aviatrix Cont
继续阅读蓝凌OA WebService sysFormMainDataInsystemWebservice 任意文件读取漏洞
蓝凌OA WebService sysFormMainDataInsystemWebservice 任意文件读取漏洞 Superhero nday POC 2025-01-12 11:38 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果
继续阅读我只想要一个 CVE-2024-30085 Exploit 作为圣诞礼物
我只想要一个 CVE-2024-30085 Exploit 作为圣诞礼物 Cherie securitainment 2025-01-12 09:32 【翻译】All I Want for Christmas is a CVE-2024-30085 Exploit 概述 CVE-2024-30085 是一个影响 Windows 云文件迷你过滤驱动程序cldflt.sys 的基于堆的缓冲区溢出漏洞。
继续阅读【相关分享】记一次小程序逻辑漏洞
【相关分享】记一次小程序逻辑漏洞 原创 隼目安全 隼目安全 2025-01-12 08:49 免责声明 ❝ 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢! 该漏洞已经向相关单位与平台
继续阅读「漏洞复现」某源地产ERP Service.asmx X-Forwarded-For注入漏洞
「漏洞复现」某源地产ERP Service.asmx X-Forwarded-For注入漏洞 冷漠安全 冷漠安全 2025-01-12 04:51 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊)
古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊) 独眼情报 2025-01-12 04:24 GitHub 上针对 CVE-2024-49113(又名“LDAPNightmare”)的欺骗性概念验证 (PoC) 漏洞利用信息窃取恶意软件感染用户,该恶意软件会将敏感数据泄露到外部 FTP 服务器。 这种策略并不新颖,因为在 GitHub 上已经有多
继续阅读区块链 智能合约安全 重入漏洞
区块链 智能合约安全 重入漏洞 原创 zkaq – 君叹 掌控安全EDU 2025-01-12 04:01 扫码领资料 获网安教程 本文由掌控安全学院 – 君叹 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 智能合约安全 在当今数字化浪潮汹涌澎湃的时代,区块链技术无疑是一颗耀眼的明星,正深刻地重塑着众多领域的运作模式。
继续阅读