「漏洞复现」用友U8 CRM config/fillbacksetting.php SQL注入漏洞 冷漠安全 冷漠安全 2024-10-06 10:42 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用
继续阅读【PoC】 TeamViewer 用户到内核权限提升 独眼情报 2024-10-06 09:35 此仓库包含 TeamViewer 中漏洞的利用概念证明,该漏洞允许非特权用户将任意内核驱动程序加载到系统中。我要感谢 Zero Day Initiative 在报告和负责任地披露该漏洞方面与他们的协调。 – https://www.cve.org/CVERecord?id=CVE-2024
继续阅读【PoC】CVE-2024-45519 – Zimbra Postjournal 漏洞利用教程 独眼情报 2024-10-06 09:35 描述 ⚠️ CVE-2024-45519 是 Zimbra Collaboration (ZCS) 中的一个漏洞,允许未认证的用户通过 postjournal 服务执行命令。本指南将引导您设置实验室环境以重现此问题并执行漏洞利用。 受影响的版本 🐛
继续阅读安全行动,只为中国(三)—— 重大事件分析研判与高危漏洞响应篇 安天集团 2024-10-05 23:53 点击上方”蓝字” 关注我们吧! 国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的历史工作进行汇聚梳理。以总结经验、提炼规律、改善不足,让我们后续的分析和响应工作,能更有效的支撑国家安全斗争。 威胁分析响应,是安天重要的能力频谱。安天面向
继续阅读「漏洞复现」用友U8 CRM config/fillbacksettingedit.php SQL注入漏洞 冷漠安全 冷漠安全 2024-10-05 19:36 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供
继续阅读寻找TeamViewer 0day漏洞—第一部分:故事的开始 原创 一个不正经的黑客 一个不正经的黑客 2024-10-05 15:28 寻找TeamViewer 0day漏洞—第一部分:故事的开始 这一系列博客文章将探讨关于TeamViewer(TV)与其SYSTEM服务之间的IPC通信的一些发现。我原本是在尝试寻找TeamViewer客户端中的一些漏洞,最后却深入研究了它与辅助服务的通信机制。
继续阅读CVE-2024-6769:毒害激活缓存,将完整性从中提升至高 Ots安全 2024-10-05 14:25 本博客是关于两个连锁漏洞:第一阶段是由于 ROOT 驱动器重新映射导致的 DLL 劫持漏洞,第二阶段是由 CSRSS 服务器管理的激活缓存中毒漏洞。 第一阶段在 Ekoparty 2023 上 由 BlueFrost Security的 Nicolás Economou 在名为“IR
继续阅读CVE-2024-7479 & CVE-2024-7481:利用TeamViewer中一个漏洞的概念证明,用户到内核的权限提升 Ots安全 2024-10-05 14:25 此存储库包含 TeamViewer 中漏洞的利用概念验证,该漏洞允许非特权用户将任意内核驱动程序加载到系统中。我要感谢 Zero Day Initiative 与他们协调报告并负责任地披露该漏洞。 – ht
继续阅读通过转储文件利用 Visual Studio – CVE-2024-30052 Ots安全 2024-10-05 14:25 这篇博文将讨论CVE-2024-30052,该漏洞允许在 Visual Studio 中调试转储文件时执行任意代码。我于 2023 年 8 月向 Microsoft 报告了此问题,他们于 2024 年 6 月提供了解决此问题的更新。下面我分享了有关该漏洞的一些详
继续阅读微信公众号小说漫画系统前台任意文件写入漏洞(RCE) 原创 Mstir 星悦安全 2024-10-05 11:16 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **源码描述:修复版掌上阅读小说源码_公众号漫画源码可以打包漫画app,掌上阅读小说源码支持公众号、代理分站支付功能完善强大的小说源码,可以对接微信公众号、APP打包。支持对接个人微信收款。 1新增签到、平台分享奖励书币、小说推广
继续阅读ThinkPHP 的老漏洞依旧是黑客手中的大杀器;|网警提示:举国欢庆享长假,个人信息要护好 黑白之道 2024-10-05 10:36 ThinkPHP 的老漏洞依旧是黑客手中的大杀器; 研究人员发现安全领域出现了令人不安的趋势: 攻击者不仅对新披露的漏洞十分感兴趣,对已知的漏洞也丝毫不放过,尽管有些漏洞已经存在了好些年头,攻击者仍然能够通过老漏洞成功完成攻击。 典型的例子就是 ThinkPHP
继续阅读【Nacos】漏洞利用Poc整理 哈拉少安全小队 2024-10-05 09:54 弱口令 默认账号密码都是nacos 未授权访问 auth 产生原因,配置文件nacos.core.auth.enabled = false 查看用户:http://xxx/nacos/v1/auth/users?pageNo=1&pageSize=1 添加用户: POST /nacos/v1/auth/us
继续阅读「漏洞复现」EDU 某智慧平台 ExpDownloadService.aspx 任意文件读取漏洞 冷漠安全 冷漠安全 2024-10-04 18:27 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,
继续阅读微信公众号小说漫画系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2024-10-04 11:13 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **源码描述:修复版掌上阅读小说源码_公众号漫画源码可以打包漫画app,掌上阅读小说源码支持公众号、代理分站支付功能完善强大的小说源码,可以对接微信公众号、APP打包。支持对接个人微信收款。 1新增签到、平台分享奖励书币、小说推广链接生成
继续阅读【海外SRC赏金挖掘】诺基亚漏洞!! 403ByPass (三) — 修改请求方式实现403绕过 原创 thakor_jd fkalis 2024-10-04 10:40 海外SRC赏金挖掘专栏 在学习SRC,漏洞挖掘,外网打点,渗透测试,攻防打点等的过程中,我很喜欢看一些国外的漏洞报告,总能通过国外的赏金大牛,黑客分享中学习到很多东西,有的是一些新的信息收集方式,又或者是一些骚思路,
继续阅读如何使用大型语言模型(LLMs)自动检测BOLA漏洞 FreddyLu666 FreeBuf 2024-10-04 09:30 本文介绍了对一种名为 BOLABuster 的方法所进行的研究,该方法使用大型语言模型 (LLM) 来检测对象级授权损坏(BOLA)漏洞。通过大规模自动化 BOLA 检测,我们将在识别开源项目中的这些漏洞方面取得令人鼓舞的结果。 BOLA 是现代 API 和 Web 应用
继续阅读14个新漏洞使超过70万台台湾产 DrayTek 路由器面临黑客攻击 会杀毒的单反狗 军哥网络安全读报 2024-10-04 09:01 导读 Forescout Technologies 在中国台湾网络设备制造商 DrayTek 生产的路由器中发现了 14 个漏洞,其中包括可导致远程黑客攻击的严重漏洞。 这 14 个漏洞被统称为DRAY:BREAK,影响了 24 个 DrayTek Vigor
继续阅读研究人员披露微软 Office 漏洞(CVE-2024-38200) 技术细节,发布PoC代码 会杀毒的单反狗 军哥网络安全读报 2024-10-04 09:01 导读 安全研究人员发布了针对最近披露的 Microsoft Office 漏洞CVE-2024-38200的概念验证 (PoC) 代码,该漏洞可能允许攻击者捕获用户的 NTLMv2 哈希值。 此高严重性漏洞影响 Microsoft Of
继续阅读.NET 回顾 | 一款反序列化漏洞的白名单工具 原创 专攻.NET安全的 dotNet安全矩阵 2024-10-04 08:20 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学
继续阅读【漏洞复现】pgAdmin4 敏感信息泄露漏洞(CVE-2024-9014) 紫色皓月 皓月的笔记本 2024-10-03 18:00 声明:请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者和本公众号无关。 0X01 简介 pgAdmin4 是 PostgreSQL 的官方图形界面管理工具,为数据库管理员、开发者和分析师提供了一个直观的界面,以便于管理和维护 PostgreSQL
继续阅读某返佣理财商城系统存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2024-10-03 12:11 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **这完美运行的返佣商城、分销商城和理财商城开源代码,拥有详细的教程和Vue代码脚本。进行了测试,前台和后台的显示都非常正常,没有出现任何问题。 Fofa指纹:”css/chunk-vendors.5802e0af.css
继续阅读【安全圈】ChatGPT 曝严重漏洞,聊天记录黑客随意看,网友:本地运行也没用 安全圈 2024-10-02 19:01 关键词 ChatGPT ChatGPT长期记忆功能出现严重漏洞! 黑客利用漏洞,一能给 AI 植入虚假记忆,在后续回答中出现误导信息。二能植入恶意指令,持续获取用户聊天数据。 聊点啥都会被看光光。 更可怕的是,即使开始新的对话,它仍阴魂不散,持续窃取数据。 而当你直接问 Cha
继续阅读「漏洞复现」百易云资产管理运营系统 ticket.edit.php SQL注入漏洞 冷漠安全 冷漠安全 2024-10-02 18:54 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读某微商代理商补货商城系统RCE漏洞审计 原创 Mstir 星悦安全 2024-10-02 16:30 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **这个源码是一款微商分销代理商城源码,可以自己设置代理等级和升级条件(如购买指定商品、消费额度),“微商城+小程序+三级分销+拼团秒杀+多商户开店+O2O门店”通过社交关系分销裂变,把粉丝变成客户,让分销商发展下线,打造新型社交分销模式,实现
继续阅读【海外SRC赏金挖掘】Microsoft微软高危漏洞 403ByPass (二)– 协议降级实现403绕过 原创 abbas_heybati fkalis 2024-10-02 16:09 海外SRC赏金挖掘专栏 在学习SRC,漏洞挖掘,外网打点,渗透测试,攻防打点等的过程中,我很喜欢看一些国外的漏洞报告,总能通过国外的赏金大牛,黑客分享中学习到很多东西,有的是一些新的信息收集方式,又
继续阅读【漏洞复现】FastAdmin 任意文件读取漏洞(CVE-2024-7928) 紫色皓月 皓月的笔记本 2024-10-02 16:00 声明:请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者和本公众号无关。 0X01 简介 FastAdmin基于ThinkPHP强大的命令行功能扩展了一系列命令行功能,可以很方便的一键生成CRUD、生成权限菜单、压缩打包CSS和JS、启用禁用插件等
继续阅读安卓0day风险预警 独眼情报 2024-10-02 10:25 一名威胁者声称正在出售一种针对 Android 设备的强大零日漏洞,据称该漏洞能够通过 MMS 进行远程代码执行 (RCE)。据该威胁者称,该漏洞是一种零点击 攻击,这意味着攻击者无需用户交互即可控制设备。 据称,该漏洞影响 Android 11、12、13 版本 以及最近发布的 Android 14版本,因此无论品牌或型号如何,它
继续阅读一款集成了H3C,致远,泛微,万户,帆软,海康威视,金蝶云星空,畅捷通,Struts等多个RCE漏洞利用工具 黑白之道 2024-10-02 10:07 01 工具介绍 一款集成了H3C,致远,泛微,万户,帆软,海康威视,金蝶云星空,畅捷通,Struts等多个RCE的漏洞利用工具 程序采用C#开发,首次使用请安装依赖:NET6.0 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律
继续阅读抓获4人!五马公安打掉一侵犯公民个人信息犯罪团伙;|英伟达高危漏洞威胁全球数百万AI应用 黑白之道 2024-10-02 10:07 抓获4人!五马公安打掉一侵犯公民个人信息犯罪团伙 这是不少人在接到各类骚扰和诈骗电话后的最大疑惑。 这是因为不法分子出售了我们的个人信息!!! 近年来,随着电话、网络实名制等规定的相继出台,实名手机卡、网络平台账号逐渐成为不法分子手中的稀缺资源。在高额利润的诱惑下,
继续阅读CUPS 漏洞能使攻击者对Linux电脑远程执行任意代码 Zicheng FreeBuf 2024-10-02 09:31 据BleepingComputer消息, Linux 系统中广泛使用的打印系统CUPS(Common UNIX Printing System)存在漏洞,能在受攻击的电脑上远程执行任意代码。 目前该漏洞尚未有修复补丁。 这些安全漏洞由 Simone Margaritelli
继续阅读