命令执行无回显利用总结 附工具
命令执行无回显利用总结 附工具 两年半网安练习生 2024-07-05 18:32 免责声明 安全圈子我最菜(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止
继续阅读标签: vx
XXL-JOB默认accessToken身份认证绕过RCE
XXL-JOB默认accessToken身份认证绕过RCE 原创 Arvin Timeline Sec 2024-07-05 18:30 关注我们❤️,添加星标🌟,一起学安全!作者:Arvin@Timeline Sec 本文字数:2867阅读时长:2~4min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务
继续阅读荣耀加冕 │ 梆梆安全荣膺NVDB「2023年度漏洞报送最具贡献单位」
荣耀加冕 │ 梆梆安全荣膺NVDB「2023年度漏洞报送最具贡献单位」 梆梆安全 梆梆安全 2024-07-05 18:15 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)对2023年度在网络产品安全漏洞管理方面作出杰出贡献的单位进行表彰。梆梆安全凭借在移动安全领域的技术实力荣膺「2023年度漏洞报送最具贡献单位」。 网络安全威胁和漏洞信息共享平台NVDB(National Vul
继续阅读Apache Tomcat 拒绝服务漏洞(CVE-2024-34750)安全风险通告
Apache Tomcat 拒绝服务漏洞(CVE-2024-34750)安全风险通告 奇安信 CERT 2024-07-05 16:07 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Tomcat 拒绝服务漏洞 漏洞编号 QVD-2024-25223,CVE-2024-34750 公开时间 2024-07-03 影响量级 十万级 奇安信评级 高危 CVSS 3.
继续阅读漏洞扫描工具 — GoT(7月5日更新)
漏洞扫描工具 — GoT(7月5日更新) AgentVirus Web安全工具库 2024-07-04 22:34 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删
继续阅读GeoServer property RCE注入内存马
GeoServer property RCE注入内存马 原创 yzddMr6 网络安全回收站 2024-07-04 21:07 背景 GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作。在GeoServer 2.25.1, 2.24.3, 2.23.5版本及以前,未登录的任意用户
继续阅读【成功复现】GeoServer 远程代码执行漏洞(CVE-2024-36401)
【成功复现】GeoServer 远程代码执行漏洞(CVE-2024-36401) cexlife 飓风网络安全 2024-07-04 20:51 漏洞描述: GeoServer是一款开源地图服务器,主要用于发布、共享和处理各种地理空间数据,其依赖GeoTools库来处理地理空间数据,受影响版本的 GeoTools 库 API 在处理要素类型的属性名称时,会将这些属性名称不安全地传递给commons
继续阅读【漏洞预警】XWiki Platform 未授权 代码注入漏洞 (CVE-2024-21650)
【漏洞预警】XWiki Platform 未授权 代码注入漏洞 (CVE-2024-21650) cexlife 飓风网络安全 2024-07-04 20:51 漏洞详情:XWiki Platform是XWiki基金会的一套用于创建Web协作应用程序的Wiki平台。XWiki Platform存在安全漏洞,该漏洞源于user registration功存在一个代码注入漏洞,未经授权的攻击者可以利用
继续阅读[含POC]宏景eHR LoadOtherTreeServlet SQL注入漏洞
[含POC]宏景eHR LoadOtherTreeServlet SQL注入漏洞 原创 漏洞预警机器人 安全光圈 2024-07-04 20:39 宏景eHR LoadOtherTreeServlet SQL注入漏洞 免责声明:本文内容为机器人搜集最新漏洞及POC分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关
继续阅读【0day】金斗云HKMP智慧商业软件
【0day】金斗云HKMP智慧商业软件 原创 shuxi 黑白防线 2024-07-04 19:24 作者 | 书汐 一、金斗云HKMP智慧商业软件介绍: 金斗云智慧商业软件是一款功能强大、易于使用的智慧管理系统,通过智能化的管理工具,帮助企业实现高效经营、优化流程、降低成本,并提升客户体验。 二、漏洞描述: 01.逻辑漏洞: 登录时输入任意用户,然后抓包替换返回包如下即可登录后台 HTTP/1.
继续阅读SiCat:一款多功能漏洞利用管理与搜索工具
SiCat:一款多功能漏洞利用管理与搜索工具 Alpha_h4ck FreeBuf 2024-07-04 19:20 关于SiCat SiCat是一款多功能漏洞利用管理与搜索工具,该工具基于纯Python 3开发,旨在帮助广大研究人员有效地识别和收集来自开源和本地存储库的漏洞信息。 SiCat专注于网络安全管理方面的实践工作,允许研究人员快速实现在线搜索,并查找正在进行的项目或系统中的潜在安全问题
继续阅读CVE-2024-0044,致使 Android 12/13 提权那些事
CVE-2024-0044,致使 Android 12/13 提权那些事 原创 Yang2635 小杨学安全 2024-07-04 19:09 前言 最近在倒腾 Android 逆向相关,期间了解了一个比较有意思的漏洞(CVE_2024_0044),这个漏洞可以突破 Android 12/13 系统提权备份应用数据(例如:提取微信数据,难怪最近各厂家先后突破 Android 12/13 提权备份,
继续阅读【安全圈】最高可达 25 万美元!谷歌为 KVM 零日漏洞计划支付巨额奖金
【安全圈】最高可达 25 万美元!谷歌为 KVM 零日漏洞计划支付巨额奖金 安全圈 2024-07-04 19:01 关键词 系统漏洞 2023 年 10 月,为提高基于内核的虚拟机(KVM)管理程序的安全性,谷歌推出一项新的漏洞奖励计划(VRP)——kvmCTF。 据悉,KVM 是一个开源管理程序,目前已有超过 17 年的发展历史,是消费者和企业环境中的一个重要组件,为安卓和谷歌云平台提供动力。
继续阅读【安全圈】黑客利用 D-Link DIR-859 路由器严重漏洞窃取密码,必须更换设备避免受害
【安全圈】黑客利用 D-Link DIR-859 路由器严重漏洞窃取密码,必须更换设备避免受害 安全圈 2024-07-04 19:01 关键词 信息泄露 黑客正在利用影响所有 D-Link DIR-859 WiFi 路由器的严重漏洞来从设备收集帐户信息,包括密码。 该安全问题于一月份披露,目前编号为CVE-2024-0769 (严重程度评分为 9.8),这是一个导致信息泄露的路径遍历漏洞。
继续阅读【安全圈】Microsoft MSHTML 漏洞被利用来传播 MerkSpy 间谍软件工具
【安全圈】Microsoft MSHTML 漏洞被利用来传播 MerkSpy 间谍软件工具 安全圈 2024-07-04 19:01 关键词 漏洞 据观察,未知黑客组织利用 Microsoft MSHTML 中现已修补的安全漏洞传播名为MerkSpy的间谍软件监视工具,主要针对加拿大、印度、波兰和美国目标。 Fortinet FortiGuard Labs 研究员 Cara Lin在上周发布的一份
继续阅读「漏洞复现」Geoserver JXPath表达式注入致远程代码执行漏洞(CVE-2024-36401)
「漏洞复现」Geoserver JXPath表达式注入致远程代码执行漏洞(CVE-2024-36401) 冷漠安全 冷漠安全 2024-07-04 18:35 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学
继续阅读【论文速读】| 用于安全漏洞防范的人工智能技术
【论文速读】| 用于安全漏洞防范的人工智能技术 原创 知识分享者 安全极客 2024-07-04 18:25 本次分享论文:Artificial Intelligence Techniques for Security Vulnerability Prevention 基本信息 原文作者:Steve Kommrusch 作者单位:Colorado State University, Departm
继续阅读验证码漏洞利用技巧总结
验证码漏洞利用技巧总结 原创 W 千寻安服 2024-07-04 18:21 验证码漏洞利用技巧总结 验证码的设计初衷是为了防止恶意自动操作,如批量注册、暴力破解密码、刷票、垃圾评论等行为,从而保障服务的正常运行和数据的真实性。 由于开发人员开发不规范,攻击者可以绕过或者破解验证码,这些漏洞的存在对网络安全构成了严重威胁。 验证码漏洞不仅会导致个人隐私泄露、账户被盗用,还可能被用于大规模的网络犯罪
继续阅读afrog-漏洞扫描(挖洞)工具【了解安装使用详细】
afrog-漏洞扫描(挖洞)工具【了解安装使用详细】 原创 大象只为你 大象只为你 2024-07-04 18:20 ★★ 免责声明★★ 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 1、afrog介绍 afrog 是一款性能卓越、快速稳定、PoC可定制的漏洞扫描(挖洞)工具,PoC涉及CVE
继续阅读CVE-2024-24788 Golang DNS解析过程中的DOS漏洞
CVE-2024-24788 Golang DNS解析过程中的DOS漏洞 原创 杨悦 华为安全应急响应中心 2024-07-04 18:10 1 漏洞元数据 project:Golang Publish Date:05/08/2024 Confirm:https://go-review.googlesource.com/c/go/+/578375 CVE-ID:CVE-2024-24788
继续阅读Boofuzz在二进制IOT漏洞挖掘中的简单运用
Boofuzz在二进制IOT漏洞挖掘中的简单运用 pureGavin 看雪学苑 2024-07-04 18:06 环境 Ubuntu 20.04 Python、pip、qemu之类的直接用apt-get下载安装就好。 binwalk里有需要用到sasquatch程序,需要手动下载一下,命令如下: tenda AC15 CVE-2018-5767 环境问题 使用binwalk解包以后可以在bin文件
继续阅读特斯拉上价值 10000 美元的 XSS 漏洞
特斯拉上价值 10000 美元的 XSS 漏洞 谈思实验室 2024-07-04 17:55 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 我有幸尝试破解的有趣事物之一是特斯拉Model 3。它内置了网络浏览器,享有免费的高级LTE网络,并且支持OTA。这简直就是一个高速移动的联网计算机。 年初,我买了一辆特斯拉Model 3,不仅开起来爽,折腾起来也挺有意思的。我在车库里捣鼓了半天,想让车
继续阅读【已复现】GeoServer 存在远程代码执行漏洞(CVE-2024-36401)
【已复现】GeoServer 存在远程代码执行漏洞(CVE-2024-36401) 安恒研究院 安恒信息CERT 2024-07-04 17:44 漏洞概述 漏洞名称 GeoServer 存在远程代码执行漏洞(CVE-2024-36401) 安恒CERT评级 严重 CVSS3.1评分 9.8 CVE编号 CVE-2024-36401 CNVD编号 未分配 CNNVD编号 CNNVD-202407-
继续阅读【风险通告】OpenStack存在敏感信息泄露漏洞(CVE-2024-32498)
【风险通告】OpenStack存在敏感信息泄露漏洞(CVE-2024-32498) 安恒研究院 安恒信息CERT 2024-07-04 17:44 漏洞概述 漏洞名称 OpenStack存在敏感信息泄露漏洞(CVE-2024-32498) 安恒CERT评级 2级 CVSS3.1评分 8.8(安恒自评) CVE编号 CVE-2024-32498 CNVD编号 未分配 CNNVD编号 未分配 安恒CE
继续阅读创宇安全智脑 | OpenSSH 远程代码执行(CVE-2024-6387)等80个漏洞可检测
创宇安全智脑 | OpenSSH 远程代码执行(CVE-2024-6387)等80个漏洞可检测 创宇安全智脑 创宇安全智脑 2024-07-04 17:40 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威
继续阅读【漏洞复现】Artifex Ghostscript任意代码执行漏洞(CVE-2024-29510)
【漏洞复现】Artifex Ghostscript任意代码执行漏洞(CVE-2024-29510) 启明星辰安全简讯 2024-07-04 17:32 一、漏洞概述 漏洞名称 Artifex Ghostscript任意代码执行漏洞 CVE ID CVE-2024-29510 漏洞类型 格式字符串注入 发现时间 2024-07-04 漏洞评分 5.5 漏洞等级 中危 攻击向量 本地 所
继续阅读红蓝队已经开始布陷阱了,开源工具类别随意 git clone,一不小心就会直接触发 RCE
红蓝队已经开始布陷阱了,开源工具类别随意 git clone,一不小心就会直接触发 RCE 原创 新青年1号 网安小趴菜 2024-07-04 17:32 今天,要说的这个漏洞,并不是最近的,它最早被发现于 5 月份,危害极大,热度却并不是很高。 为什么今天我要把这个陈年旧洞拉出来说呢? 是因为大家都知道,护网已经开始陆续进场了。 红蓝队也都开始在开源平台上整理自己的工具类、部署陷阱了。 近期,g
继续阅读CVE初探之CVE-2019-6250反弹Shell
CVE初探之CVE-2019-6250反弹Shell 5ma11wh1t3 蚁景网安 2024-07-04 17:30 概述 ZMQ(Zero Message Queue)是一种基于消息队列得多线程网络库,C++编写,可以使得Socket编程更加简单高效。 该编号为CVE-2019-6250的远程执行漏洞,主要出现在ZMQ的核心引擎libzmq(4.2.x以及4.3.1之后的4.3.x)定义的ZM
继续阅读从0至1,关于我在Day1安全团队中的SRC漏洞挖掘之旅
从0至1,关于我在Day1安全团队中的SRC漏洞挖掘之旅 卡冈图雅 Day1安全团队 2024-07-04 17:18 时间线:**** —我于2024年4月12日加入Day1 —2024年6月24日完成0-1 —截至2024年7月1日,挖洞收入突破 1.6W ,超额完成0-2 。 简单自我介绍,我的ID为”卡冈图雅”,目前是某高校通信工程专业,大一在读,出于对
继续阅读最高可达25万美元!谷歌为 KVM 零日漏洞计划支付巨额奖金
最高可达25万美元!谷歌为 KVM 零日漏洞计划支付巨额奖金 网络安全应急技术国家工程中心 2024-07-04 16:08 2023 年 10 月,为提高基于内核的虚拟机(KVM)管理程序的安全性,谷歌推出一项新的漏洞奖励计划(VRP)——kvmCTF。 据悉,KVM 是一个开源管理程序,目前已有超过 17 年的发展历史,是消费者和企业环境中的一个重要组件,为安卓和谷歌云平台提供动力。作为 KV
继续阅读