D-link DIR645 缓冲区溢出漏洞分析

前言D-Link DIR-645在实现上存在命令注入及栈缓冲区溢出漏洞，攻击者可利用这些漏洞任意更改内存，以root权限执行任意shell命令或代码。该漏洞是CGI脚本在处理authenticatio…

 第59号实验室 5天前

4,611 0 0

Tellyouthepass结合高危漏洞实施攻击：产品联动保护用户数据安全！

恶意文件名称：Tellyouthepass威胁类型：勒索病毒简单描述：Tellyouthepass 勒索病毒从 2020 年 7 月开始在国内活跃，早期利用永恒之蓝漏洞攻击套件扩散传播，之后…

 Further_eye 7天前

3,841 0 1

泛微ecology9 ofsLogin.jsp 信息泄露与前台任意用户登录漏洞分析

起因长亭最近发了一个漏洞预警《在野1day风险提示｜泛微Ecology信息泄露&前台任意用户登录漏洞》，预警文章链接为https://mp.weixin.qq.com/s/ZvbXbtcpq8…

 第59号实验室 9天前

6,721 0 0

实战 | 记一次X站逻辑漏洞到到管理员后台

前言：闲来无事，在群里发现有人推这玩意，一看居然是个cps平台这就有意思了我们先去找大哥开一个代理账号拿到账号之后，登录看看js也看了下没啥东西，套了cdn，也没上传点可以添加下级渠道，尝试添加添加抓…

 HACK_Learn 9天前

5,002 0 0

Django SQL注入漏洞 CVE-2022-28347

漏洞简介在Django 2.2 的 2.2.28 之前版本、3.2 的 3.2.13 之前版本和 4.0 的 4.0.4 之前版本中的 QuerySet.deexplain() 中发现了SQL注入问题…

 合天网安实验室 10天前

7,037 0 1

针对基于智能卡进行认证的活动目录的攻击

最近，我参与了一项攻击基于智能卡的活动目录的工作。实际上，你根本不需要使用物理智能卡来验证登录这个活动目录。证书的属性决定了它是否可以用于基于智能卡进行登录。因此，如果你能获得相应的私钥，那么就可以绕…

 合天网安实验室 13天前

4,479 0 0

Django SQL注入漏洞 CVE-2022-28346

漏洞简介Django 在2022年发布的安全更新，修复了在 QuerySet 的 annotate()， aggregate()， extra() 等函数中存在的 SQL 注入漏洞。影响版本2.2&l…

 合天网安实验室 14天前

4,789 0 0

记一次神奇的垂直越权漏洞挖掘案例

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与…

 潇湘信安 18天前

5,070 0 0

【漏洞预警】Apache bRPC代码执行漏洞

1. 通告信息近日，安识科技A-Team团队监测到Apache官方发布安全公告，修复了bRPC中的一个代码执行漏洞（CVE-2023-31039）。对此，安识科技建议广大用户及时升级到安全版…

 安识科技 19天前

5,487 0 0

【零基础】SRC实用漏洞挖掘技巧-附5个漏洞实例解析

如果你喜欢我的文章，欢迎关注公众号：安全女巫转载请注明出处：https://mp.weixin.qq.com/s/-ebZn79irVCoSDBHL7iW1g该篇文章针对SRC渗透测试过程中的技巧进行…

 公众号:安全女巫 20天前

6,937 0 0

记一次springboot项目漏洞挖掘

前言前段时间的比赛将该cms作为了题目考察，这个cms的洞也被大佬们吃的差不多了，自己也就借此机会来浅浅测试下这个cms残余漏洞，并记录下这一整个流程，谨以此记给小白师傅们分享下思路，有错误的地方还望…

 合天网安实验室 20天前

5,527 0 0

一次getshell并连接内网主机过程

免责声明本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并…

 SecHub安全 20天前

5,403 0 0

CVE-2023-29489 cPanel XSS漏洞分析研究

前言由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。如果文章中的漏洞出现敏感内容产生了部分影响，请及时联系作者，望谅解。一、漏洞原理…

 合天网安实验室 24天前

4,879 0 0

记一次峰回路转的注入

10X01 背景"自己之前写过一篇记录，当时是由于之前是一位校友刚做开发，叫我友情帮忙测试测试一波，由于是开发的新手，漏洞比较多，所以直接从注入开始讲起，但是到getshell的过程也算是一…

 合天网安实验室 24天前

4,510 0 0

某应用虚拟化系统远程代码执行

漏洞简介　　微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day)，攻击者可以通过该漏洞执行任意代码，导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务…

 合天网安实验室 2023-04-27 17:06:48

6,639 0 0