一次完整的Jwt伪造漏洞实战案例
一次完整的Jwt伪造漏洞实战案例 原创 Tai Code4th安全团队 2024-12-17 14:11 本文章由团队师傅[Tai]授权发布 某次漏洞挖掘 时 遇到了任 意用户登录漏洞,这次的漏洞案例是由于 jwt 存在弱密钥,攻击者可以伪造 jwt ,从而获取非授权访问权限。此外站点还存在弱口令,可以通过弱口令登录 druid 后台,查看敏感信息。 首先通过微信搜索小程序,找到目标。 点击进入小
继续阅读标签: 命令执行
【处置手册】Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)
【处置手册】Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677) 原创 NS-CERT 绿盟科技CERT 2024-12-17 10:23 通告编号:NS-2024-0036-1 2024-12-17 TAG: Apache Struts、S2-067、CVE-2024-53677 漏洞危害: 攻击者利用此漏洞,可实现任意文件上传。 版本: 1.1 1 漏洞概述
继续阅读探秘移动端漏洞世界 | 零基础入门Android漏洞挖掘-入门篇
探秘移动端漏洞世界 | 零基础入门Android漏洞挖掘-入门篇 看雪课程 看雪学苑 2024-12-17 09:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。
继续阅读【漏洞复现】CVE-2024-8963、CVE-2024-8190
【漏洞复现】CVE-2024-8963、CVE-2024-8190 原创 混子Hacker 混子Hacker 2024-12-17 09:56 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 咱得静悄悄的干,输了呢就当没干过 【 摘自
继续阅读漏洞预警|CVE-2024-49112 Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞
漏洞预警|CVE-2024-49112 Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 SecHub网络安全社区 2024-12-17 09:25 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份
继续阅读古河大佬发现的最新漏洞:Windows LDAP RCE漏洞(9.8)
古河大佬发现的最新漏洞:Windows LDAP RCE漏洞(9.8) 独眼情报 2024-12-17 08:36 微软披露了其轻量级目录访问协议 (LDAP) 服务中存在的一个严重远程代码执行 (RCE) 漏洞,编号为 CVE-2024-49112。此漏洞是该公司 12 月补丁星期二更新的一部分,它使未经身份验证的攻击者能够在 LDAP 服务上下文中执行任意代码,从而对企业网络构成严重风险。该漏
继续阅读通过 CVE-2024-52875 攻击 Kerio Control:从 CRLF 注入到一键 RCE
通过 CVE-2024-52875 攻击 Kerio Control:从 CRLF 注入到一键 RCE Ots安全 2024-12-17 05:29 Kerio Control,以前称为 Kerio WinRoute 防火墙,现在是一种非常流行的防火墙和统一威胁管理 (UTM) 产品,由GFI Software拥有和开发:根据Censys 的数据,目前整个互联网上有大约两万个 Kerio Cont
继续阅读【更新】Apache Struts2文件上传漏洞
【更新】Apache Struts2文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2024-12-17 03:30 漏洞概况 Apache Struts2 是一个开源的 Java Web 应用程序开发框架,旨在帮助开发人员构建灵活、可维护和可扩展的企业级 Web 应用程序。 微步情报局获取到 Apache Struts2 文件上传漏洞情报 CVE-2024-53677 (https://
继续阅读CVE-2024-53677:严重的Apache Struts RCE漏洞 PoC 已发布
CVE-2024-53677:严重的Apache Struts RCE漏洞 PoC 已发布 独眼情报 2024-12-17 01:31 CVE-2024-53677 安全公告:CVE-2024-53677 – 严重 Apache Struts 远程代码执行漏洞 日期:2024 年 12 月 14 日 CVE 编号:CVE-2024-53677 CVSS 评分:9.5(严重) 概述 流行的 Apac
继续阅读利用GitLab漏洞,美国比特币ATM巨头Byte Federal数据泄露
利用GitLab漏洞,美国比特币ATM巨头Byte Federal数据泄露 汇能云安全 2024-12-17 01:30 12月17日,星期二,您好!中科汇能与您分享信息安全快讯: 01 利用GitLab漏洞,美国比特币ATM巨头Byte Federal数据泄露 近期,美国最大的比特币ATM运营商Byte Federal披露了数据泄露事件,黑客利用GitLab漏洞入侵系统,泄露了58000名客户数
继续阅读【神兵利器】飞企互联FE漏洞综合利用工具
【神兵利器】飞企互联FE漏洞综合利用工具 M0untainShley 七芒星实验室 2024-12-16 23:00 项目介绍 飞企互联 FE 平台一键漏洞探测工具,支持单 url 以及批量探测 漏洞支持 支持对如下漏洞进行探测 1. uploadAttachmentServlet 任意文件上传漏洞 common_sort_tree.jsp 表达式命令执行&任意文件写入漏洞 validat
继续阅读电子资料管理系统 ImageUpload.ashx 任意文件上传漏洞
电子资料管理系统 ImageUpload.ashx 任意文件上传漏洞 Superhero nday POC 2024-12-16 18:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即
继续阅读【已复现】Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告第二次更新
【已复现】Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告第二次更新 奇安信 CERT 2024-12-16 16:02 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Struts 文件上传漏洞 漏洞编号 QVD-2024-50398,CVE-2024-53677 公开时间 2024-12-11 影响量级 十万级 奇安信评级
继续阅读渗透测试 — 命令执行漏洞和反序列化漏洞学习课程(免费下载)
渗透测试 — 命令执行漏洞和反序列化漏洞学习课程(免费下载) 网络安全者 2024-12-16 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/8f72b50e2db8 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 个人微信:ivu123ivu 各 类 学 习 教 程 下 载 合 集 https://pa
继续阅读新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击
新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击 Rhinoer 犀牛安全 2024-12-16 16:00 黑客正在积极利用 Cleo 管理文件传输软件中的零日漏洞来入侵公司网络并进行数据盗窃攻击。 该漏洞存在于该公司的安全文件传输产品 Cleo LexiCom、VLTrader 和 Harmony 中,该漏洞允许不受限制的文件上传和下载,从而导致远程代码执行。 Cleo MFT 漏洞影响
继续阅读fscan存在命令注入漏洞[doge][doge]
fscan存在命令注入漏洞[doge][doge] 原创 qianbenhyu 小肥羊安全 2024-12-16 09:36 一个国外的哥们在fscan项目提了个issue。大概说的是fscan存在一个命令注入的漏洞。存在漏洞的代码如下 # Vulnerable way to build command command = exec.Command("cmd", "/
继续阅读【已复现】Apache Struts存在文件上传漏洞(CVE-2024-53677)
【已复现】Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒研究院 安恒信息CERT 2024-12-16 09:27 漏洞概述 漏洞名称 Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒CERT评级 2级 CVSS3.1评分 8.1 CVE编号 CVE-2024-53677 CNVD编号 未分配 CNNVD编号 CNNVD-20241
继续阅读安全热点周报:新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击
安全热点周报:新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击 奇安信 CERT 2024-12-16 09:20 安全资讯导视 • 国家发改委公布《电力监控系统安全防护规定》修订版 • 美商务部发布ICTS最终规则,确保信息与通信技术和服务供应链安全 • 国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首 PART01 漏洞情报 1.Apache Struts文件上传漏洞安全风险通告
继续阅读Exp-Tools:一款集成高危漏洞EXP的实用工具
Exp-Tools:一款集成高危漏洞EXP的实用工具 海底天上月 海底生残月 2024-12-16 07:51 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 海底生残月 “ 设为星标 ”, 否则可能就看不到了啦 !
继续阅读CVE-2024-38819:Spring 框架路径遍历 PoC 漏洞已发布
CVE-2024-38819:Spring 框架路径遍历 PoC 漏洞已发布 Ots安全 2024-12-16 06:15 Spring Framework 中一个严重漏洞(编号为 CVE-2024-38819,CVSS 评分为 7.5)已被公开披露,同时还披露了一个概念验证 (PoC) 漏洞。此漏洞允许攻击者进行路径遍历攻击,从而可能授予他们访问托管受影响 Spring 应用程序的服务器上的敏感
继续阅读【Poc】-Spring Framework路径遍历漏洞(CVE-2024-38819)
【Poc】-Spring Framework路径遍历漏洞(CVE-2024-38819) 原创 宬室司阍 埋藏酱油瓶 2024-12-16 05:38 【🔔】互联网资料/工具,安全性未知,需要自行研判安全性。 CVE-2024-38819: PoC Poc: curl http://localhost:8080/static/link/%2e%2e/etc/passwd Poc环境验证 1. 构建
继续阅读【$25000】利用Zendesk Nday获取漏洞赏金
【$25000】利用Zendesk Nday获取漏洞赏金 白帽子左一 白帽子左一 2024-12-16 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 在这篇博客中,我将分享如何在 Zendesk 客户的默认配置中发现模板注入漏洞。 发现契机 有一天,我看到了 Rojan Rijal dai 分享的一篇文章,他演
继续阅读SRC漏洞挖掘思路手法(非常详细)
SRC漏洞挖掘思路手法(非常详细) 原创 菜狗 富贵安全 2024-12-16 01:15 这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘的思路技巧。 很多人可能都挖过很多漏洞其中包括一些EDU或者别的野战,但是对于SRC往往无从下手,感觉自己挖不倒SRC漏洞,这里其实最重要的问题还是自己的心理问题,当然必须还有
继续阅读【bWAPP】OS Command Injection(Blind)&PHP Code Injection 系统命令执行
【bWAPP】OS Command Injection(Blind)&PHP Code Injection 系统命令执行 原创 儒道易行 儒道易行 2024-12-15 18:00 那天下着很大的雨,母亲从城里走回来的时候,浑身就是一个泥人,那一刻我就知道我没有别的选择了 LDAP Injection (Search) LDAP 全英文:Lightweight Directory Acce
继续阅读Atlassian Confluence 模板注入代码执行漏洞(CVE-2023-22527)
Atlassian Confluence 模板注入代码执行漏洞(CVE-2023-22527) TtTeam 2024-12-15 16:02 原文首发在:奇安信攻防社区 https://forum.butian.net/share/2741 作者:Le1a@threatbook校验:jweny@threatbook 漏洞描述 Atlassian Confluence是一款由Atlassian开发
继续阅读泛微云桥e-Bridge SQL注入漏洞分析
泛微云桥e-Bridge SQL注入漏洞分析 原创 莫大130 安全逐梦人 2024-12-15 14:37 12月到了,今天带来泛微云桥e-Bridge SQL注入漏洞分析,从环境搭建到漏洞利用一系列操作,技术含量不高,当学习一下java代码审计 环境搭建 https://wxdownload.e-cology.com.cn/ebridge/ebridge_install_win64_serve
继续阅读关键的Windows UI自动化框架漏洞允许黑客绕过EDR
关键的Windows UI自动化框架漏洞允许黑客绕过EDR 老布 FreeBuf 2024-12-15 02:03 一种新近开发的技术,利用了Windows的一个辅助功能框架——UI Automation(UIA),来执行多种恶意活动,同时巧妙地避开了端点检测和响应(EDR)解决方案的监控。 Akamai的安全研究员Tomer Peled在一份与The Hacker News分享的报告中指出:“要
继续阅读每周网安态势概览【20241215】050期
每周网安态势概览【20241215】050期 网空闲话 网空闲话plus 2024-12-15 00:19 编者按 2024年12月9日至12月15日,网空闲话关注并分享的国际网络安全领域的热点事件,以及每日国际网络安全态势一览。 本周热点 :上市电力公司遭勒索、美国与菲律宾成功举行海上网络安全和化学品安全演习、Lynxa勒索软件团队浮出 ,等等 。 每日热点追踪 俄罗斯两黑客组织瞄准了美、加、澳
继续阅读大华DSS数字监控系统 attachment_downloadAtt.action 任意文件读取漏洞
大华DSS数字监控系统 attachment_downloadAtt.action 任意文件读取漏洞 冷漠安全 冷漠安全 2024-12-15 00:00 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读看见创新力量!极客公园 2024 年度「InnoForce 50」发布
看见创新力量!极客公园 2024 年度「InnoForce 50」发布 原创 极客公园 极客公园 2024-12-14 14:14 排序按照拼音/英文首字母顺序 作为中国领先的创新者社区,极客公园自成立之初便与国内技术创新的浪潮同频共振, 见证了一代又一代技术商业领袖的成长与蜕变。 自 2011 年 1 月首次推出 InnoAwards 以来,极客公园便致力于通过其记录和展示科技互联网领域的年度发
继续阅读