渗透测试案例 | 证书站学校漏洞挖掘(二)
渗透测试案例 | 证书站学校漏洞挖掘(二) 原创 零 Code4th安全团队 2024-11-22 00:15 本文由团队师傅[零]授权并发布 想必 有很多师傅都尝试过挖掘Edu src的证书站学校,这次由另外一个师傅分享证书站的捡洞经验。 首先通过信息收集拿到了一个网站,页面如下 登录一下试试,抓包如下显示用户不存在 用户不存在,呵呵,开工挖掘(狗头 哟呵,怎么不说用户不存在了,继续安排,掏出祖
继续阅读标签: 代码
漏洞预警 | 电信网关配置管理系统任意文件上传漏洞
漏洞预警 | 电信网关配置管理系统任意文件上传漏洞 浅安 浅安安全 2024-11-22 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 电信网关配置管理系统是一个用于管理和配置电信网络中网关设备的软件系统。它可以帮助网络管理员实现对网关设备的远程监控、配置、升级和故障排除等功能,从而确保网络的正常运行和高效性能。 0x03
继续阅读2023年最常被利用的漏洞(文末附下载)
2023年最常被利用的漏洞(文末附下载) 计算机与网络安全 2024-11-21 23:57 进网络安全行业群 微信公众号 计算机与网络安全 回复 行业群 本文提供了由创作机构收集和汇编的关于2023年恶意网络行为者常规和频繁利用的常见漏洞和暴露(CVE)及其相关的常见弱点列举(CWE)的详细信息。与2022年相比,恶意网络行为者在2023年利用了更多零日漏洞来危害企业网络,使他们能够针对高优先
继续阅读【未公开】安科瑞企业用电监控预警系统存在SQL注入漏洞
【未公开】安科瑞企业用电监控预警系统存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-21 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **安科瑞现有研发工程技术人才500多人,聚焦用户侧能效系统和能源互联网,具备从云平台软件到终端元器件的一站式服务能力,形成了“云-边-端”的能源互联网生态体系,目前已有1
继续阅读【漏洞扫描】Spring框架的漏洞扫描
【漏洞扫描】Spring框架的漏洞扫描 CllmsyK 七芒星实验室 2024-11-21 23:00 项目介绍 YYBaby是一款针对Spring框架的漏洞扫描及漏洞利用图形化工具 更新日志 更新日志 【Bug反馈请点击Help关于处联系作者】 ========================================== Top&NSdemon YYBaby_v0.9 Spri
继续阅读迫切需要优先考虑移动安全
迫切需要优先考虑移动安全 原创 铸盾安全 河南等级保护测评 2024-11-21 16:01 现代企业的移动性远超以往。自带设备 (BYOD) 和公司所有、个人启用 (COPE)、混合工作和企业移动性计划等趋势正在加速发展,使移动设备能够以前所未有的方式访问和与企业数据系统交互。据 Verizon 称,超过一半 (55%) 的组织拥有比 12 个月前更多的移动设备用户,而 Zimperium 声称
继续阅读Ollama AI 框架中的严重漏洞可能导致 DoS、模型盗窃和模型中毒
Ollama AI 框架中的严重漏洞可能导致 DoS、模型盗窃和模型中毒 Rhinoer 犀牛安全 2024-11-21 16:00 网络安全研究人员披露了 Ollama 人工智能 (AI) 框架中的六个安全漏洞,恶意行为者可以利用这些漏洞执行各种操作,包括拒绝服务、模型中毒和模型盗窃。 Oligo Security 研究员 Avi Lumelsky 在上周发布的一份报告中表示:“总的来说,这些漏
继续阅读漏洞管理工具 — miscan(11月22日更新)
漏洞管理工具 — miscan(11月22日更新) mifine666 Web安全工具库 2024-11-21 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权
继续阅读【漏洞预警】Ubuntu needrestart权限提升漏洞CVE-2024-48990
【漏洞预警】Ubuntu needrestart权限提升漏洞CVE-2024-48990 cexlife 飓风网络安全 2024-11-21 13:54 漏洞描述: needrestart是Ubuntu和其他基于Debian的Linux发行版中常用的一个工具,主要用于检测系统中是否有需要重启的服务或内核模块,它在软件包更新后运行,帮助管理员识别哪些服务或进程需要重新启动以使更新生效,Ubuntu
继续阅读【活动】双十一回血活动开启,单个漏洞奖励可达4万+!
【活动】双十一回血活动开启,单个漏洞奖励可达4万+! 邀您专测的 京东安全应急响应中心 2024-11-21 13:00 全业务通用漏洞 {四倍奖励} 11月25日0:00 12月1日24:00 京东全业务通用漏洞四倍 活动时间 11月25日0:00-12月1日24:00(7天) 活动范围 京东全业务通用漏洞 活动奖励 活动期间提交 “通用漏洞” 高危、严重4倍奖励 通用漏洞包含:SQL注入、No
继续阅读关键的 Windows漏洞使数百万台服务器面临攻击
关键的 Windows漏洞使数百万台服务器面临攻击 BaizeSec 白泽安全实验室 2024-11-21 12:55 一、事件概述 Kerberos协议最初由麻省理工学院(MIT)在1980年代开发,目的是为了提供一个安全的身份验证机制,特别是在分布式计算环境中。它通过使用密钥分发中心(KDC)和基于凭证的认证机制,确保了用户身份的安全性和网络通信的保密性。从Windows 2000开始,微软在
继续阅读Ubuntu系统软件中的5个漏洞潜藏了10年才被发现
Ubuntu系统软件中的5个漏洞潜藏了10年才被发现 Zicheng FreeBuf 2024-11-21 11:02 Ubuntu系统中的实用程序 needrestart 近日被曝出存在5个本地权限提升 (LPE) 漏洞,这些漏洞不是最近才产生,而是已经潜藏了10年未被发现。 这些漏洞由 Qualys 发现,并被跟踪为 CVE-2024-48990、CVE-2024-48991、CVE-2024
继续阅读【安全圈】Ubuntu系统软件中的5个漏洞潜藏了10年才被发现
【安全圈】Ubuntu系统软件中的5个漏洞潜藏了10年才被发现 安全圈 2024-11-21 11:00 关键词 安全漏洞 Ubuntu系统中的实用程序 needrestart 近日被曝出存在5个本地权限提升 (LPE) 漏洞,这些漏洞不是最近才产生,而是已经潜藏了10年未被发现。 这些漏洞由 Qualys 发现,并被跟踪为 CVE-2024-48990、CVE-2024-48991、CVE-20
继续阅读竟长达10年未发现?Ubuntu系统“needrestart”工具曝5个本地提权漏洞
竟长达10年未发现?Ubuntu系统“needrestart”工具曝5个本地提权漏洞 看雪学苑 看雪学苑 2024-11-21 10:09 近日,Ubuntu系统中的“needrestart”实用程序被曝出存在5个本地权限提升(LPE)漏洞,这些安全缺陷已潜伏10年之久未被发现。这些漏洞由安全公司Qualys发现,并被分配了CVE编号,从2014年4月的Needrestart 0.8版本中引入,直
继续阅读PoC,AnyDesk 漏洞暴露用户 IP 地址,CVE-2024-52940
PoC,AnyDesk 漏洞暴露用户 IP 地址,CVE-2024-52940 独眼情报 2024-11-21 09:57 AnyDesk是一款由德国公司AnyDesk Software GmbH推出的远程桌面软件。用户可以通过该软件远程控制计算机,同时还能与被控制的计算机之间进行文件传输。 流行的远程桌面软件 AnyDesk 中新发现的一个漏洞可能允许攻击者获取用户的 IP 地址,带来严重的隐私
继续阅读Oracle 修复已遭利用的 Agile PLM 0day
Oracle 修复已遭利用的 Agile PLM 0day Ionut Arghire 代码卫士 2024-11-21 09:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,Oracle 修复了位于 Agile 产品生命周期管理 (PLM) 中的、已遭利用的高危信息泄露漏洞CVE-2024-21287(CVSS评分7.5)。 该漏洞影响 Agile PLM 9.3.6版本,可在未
继续阅读这个 root 漏洞已存在10+年之久,影响Ubuntu Linux
这个 root 漏洞已存在10+年之久,影响Ubuntu Linux Bill Toulas 代码卫士 2024-11-21 09:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ubuntu Linux 使用的工具 needrestart 中存在五个本地提权 (LPE)漏洞,它们早在10多年前发布的版本21.04中就已被引入。 这些漏洞由Qualys 公司发现,编号为CVE-2024
继续阅读创宇安全智脑 | D-Link ShareCenter sc_mgr.cgi 远程命令执行等81个漏洞可检测
创宇安全智脑 | D-Link ShareCenter sc_mgr.cgi 远程命令执行等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-11-21 09:18 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实
继续阅读Ubuntu 默认工具 needrestart 曝出五个严重提权漏洞
Ubuntu 默认工具 needrestart 曝出五个严重提权漏洞 原创 DO SON 再说安全 2024-11-21 08:57 2024年11月20日,Qualys 威胁研究单位 (TRU) 披露了 NeedRestart实用程序(Ubuntu Server 安装的核心组件)中的五个严重漏洞。这些漏洞自 2014 年以来就存在,可能允许任何非特权用户获得对系统的完全控制。 Qualys TR
继续阅读模糊测试:发现软件隐患和漏洞的秘密武器
模糊测试:发现软件隐患和漏洞的秘密武器 蚁景网安 2024-11-21 08:30 0x01 什么是模糊测试 模糊测试(Fuzz Testing)是一种广泛用于软件安全和质量测试的自动化测试方法。它的基本思想是向输入参数或数据中注入随机、不规则或异常的数据,以检测目标程序或系统在处理不合法、不正常或边缘情况下的行为。模糊测试通常用于寻找软件漏洞、安全漏洞和崩溃点,以改进软件的稳定性和安全性。 0x
继续阅读零时科技 || BTB 攻击事件分析
零时科技 || BTB 攻击事件分析 原创 零时科技 零时科技 2024-11-21 08:30 背景介绍 2024年11月18日,我们监控到 BNB Smart Chain 上的一起攻击事件,被攻击的项目为 BTB 。攻击交易为 https://bscscan.com/tx/0xfb6df4053c2f1000cb03135064af19a79a87cf25efe612ae5f3468390d6
继续阅读【漏洞通告】Ubuntu needrestart权限提升漏洞(CVE-2024-48990)
【漏洞通告】Ubuntu needrestart权限提升漏洞(CVE-2024-48990) 启明星辰安全简讯 2024-11-21 08:19 一、漏洞概述 漏洞名称 Ubuntu needrestart权限提升漏洞 CVE ID CVE-2024-48990 漏洞类型 LPE 发现时间 2024-11-21 漏洞评分 7.8 漏洞等级 高危 攻击向量 本地 所需权限 低 利用难度 低 用
继续阅读Helldown 勒索软件利用 Zyxel 漏洞破坏企业网络
Helldown 勒索软件利用 Zyxel 漏洞破坏企业网络 胡金鱼 嘶吼专业版 2024-11-21 06:01 据悉,新的“Helldown”勒索软件攻击目标是 Zyxel 防火墙中的漏洞,以破坏企业网络,从而窃取数据和加密设备。 尽管不是勒索软件领域的主要参与者,但 Helldown 自夏季推出以来迅速发展,在其数据勒索门户网站上有众多受害者。 受害者公告 Helldown 发现和概述 He
继续阅读「漏洞复现」Altenergy电力系统控制软件 status_zigbee SQL注入漏洞复现(CVE-2024-11305)
「漏洞复现」Altenergy电力系统控制软件 status_zigbee SQL注入漏洞复现(CVE-2024-11305) 冷漠安全 冷漠安全 2024-11-21 04:49 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联
继续阅读【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208)
【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208) 安迈信科应急响应中心 2024-11-21 03:50 01 漏洞概况 MTA在18.12.17之前版本的OFBiz中,由于权限控制不当,攻击者可以构造恶意请求通过服务端请求伪造(SSRF)的方式执行任意代码,导致服务器失陷。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Apache OFBiz远程代
继续阅读【漏洞通告】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2024-0012)
【漏洞通告】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2024-0012) 安迈信科应急响应中心 2024-11-21 03:50 01 漏洞概况 Palo Alto Networks PAN-OS的WEB界面存在一个身份验证绕过漏洞,未经授权的攻击者可以利用该漏洞访问管理控制台,执行管理操作或提升权限,严重可导致服务器失陷。02 漏洞处置综合处置优先
继续阅读【漏洞通告】Windows 任务计划程序特权提升漏洞 (CVE-2024-49039)
【漏洞通告】Windows 任务计划程序特权提升漏洞 (CVE-2024-49039) 安迈信科应急响应中心 2024-11-21 03:50 01 漏洞概况 Windows 任务计划程序是系统中的一个组件,可以预先计划在特定时间或指定时间后启动程序或脚本,还可以设置为响应事件的触发形式。其中存在权限提升漏洞,攻击者可以利用该漏洞在目标系统获取更高的权限。02 漏洞处置综合处置优先级:高
继续阅读金蝶软件旗下产品历史漏洞合集
金蝶软件旗下产品历史漏洞合集 原创 xazlsec 信安之路 2024-11-21 03:38 近日完成了针对金蝶旗下 EAS、ERP 产品所出现过的历史漏洞进行梳理,并完成响应 POC 的编写,并且同步更新文库,每一个 POC 均对应一个文档,用于记录漏洞的复现过程及利用方式,一键检测如图: 上图是针对金蝶云星空 ERP 产品的检测,所涉及漏洞包括反序列化命令执行与任意文件读取漏洞,下图为金蝶
继续阅读宏景HCM uploadLogo.do接口存在任意文件上传漏洞 附POC
宏景HCM uploadLogo.do接口存在任意文件上传漏洞 附POC 2024-11-21更新 南风漏洞复现文库 2024-11-21 03:34 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. 宏景HCM 口简介 微信公众号搜
继续阅读【漏洞复现】某平台-Download-GetFile-readfile任意文件读取漏洞
【漏洞复现】某平台-Download-GetFile-readfile任意文件读取漏洞 原创 南极熊 SCA御盾 2024-11-21 03:05 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所
继续阅读