漏洞信息收集

智邦国际ERP GetPersonalSealData.ashx接口存在SQL注入漏洞 附POC软件

@[toc]智邦国际ERPGetPersonalSealData.ashx接口存在SQL注入漏洞附POC软件免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失
sublime88·2024-01-07 23:32

php反序列化漏洞基础

PHP序列化与序列化作者:H3h3QAQ一、PHP序列化和反序列化1.PHP反序列化:serialize()将变量或者对象转换成字符串的过程,用于存储或传递PHP的值的过程种,同时不丢失其类型和结构常见的序列化字母表示及其含义:a-array----->a::{...}b-boolean----->b:d-double----->d:i-integer----->i:o-commonr-refer
H3h3QAQ·2024-01-07 22:26

AI 的出现,程序员能走多远,未来的我们能要具备什么能力?

在某些方面,AI已经可以完成一些基础的编程工作,例如自动生成代码、修复漏洞等。但是,这并不意味着程序员将会被淘汰。首先,AI目前还无法完全取代程序员。
凯杨1319·2024-01-07 22:14

暑假杂乱摘抄(N)

在安全感这件事上,有两种经历最容易造成漏洞。第一种,是遭受了实际的伤害,例如分离、遗弃、父母离异,第二种,是一直没有得到过安全感,例如,希望父母鼓励自己,而听到的都是否认式的教育。
老王家二姑凉·2024-01-07 21:01

20-文件下载及读取漏洞

WEB漏洞-文件操作之文件下载读取全解思维导图1.文件被解析,则是文件解析漏洞2.显示源代码,则是文件读取漏洞3.提示文件下载,则是文件下载漏洞文件下载漏洞利用条件:(1)存在读文件的函数和操作(2)读取文件的路径用户可控且未校验或校验不严
阿凯6666·2024-01-07 21:14

第十天:信息打点-APP&;小程序篇&;抓包封包&;XP框架&;反编译&;资产提取

信息打点-APP&小程序一、内在收集-代码从app代码中去收集1、移动端AppInfoScanner工具信息收集安卓语法:pythonapp.pyandroid-i这个是从app代码中提取信息。
阿凯6666·2024-01-07 21:07

天融信网络安全教育心得体会

网络爆炸性地发展,网络环境也日益复杂和开放,同时各种各样的安全漏洞也暴
Q_ee2f·2024-01-07 21:55

漏洞复现--用友移动管理平台uploadIcon任意文件上传

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。
芝士土包鼠·2024-01-07 21:21

漏洞复现--Apache OFBiz groovy RCE(CVE-2023-51467)

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。
芝士土包鼠·2024-01-07 21:51

漏洞复现--天融信TOPSEC两处远程命令执行

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。
芝士土包鼠·2024-01-07 21:48

Connect-the-Dots

靶机下载地址ConnectTheDots:1~VulnHub信息收集整个靶机的练习过程中需要拿到两个flag,分别是user和root用户下面的user.txt以及root.txt文件!
YAy17·2024-01-07 20:48

The Planets: Mercury

信息收集#nmap-sn192.168.1.0/24-oNlive.nmapStartingNmap7.94(https://nmap.org)at2024-01-0612:35CST
YAy17·2024-01-07 20:18

Fowsniff

信息收集#nmap-sn192.168.1.0/24-oNlive.nmapStartingNmap7.94(h
YAy17·2024-01-07 20:46

HTB靶机:RainyDay

目录介绍主机信息探测网站探测子域名爆破(BurpSuite)目录爆破爆破参数值分析&破解hash登录系统反弹shell端口转发内网穿透【很坑】配置socks代理内网扫描换用windows做内网渗透子域名信息收集爆破密钥位置爆破密钥内容
lainwith·2024-01-07 19:28

Web安全-文件上传漏洞入门看篇就够了

1、简介任意文件上传漏洞是由于对上传文件未作过滤或过滤机制不严谨(文件后缀或类型),导致恶意用户可以上传脚本文件,通过上传文件可达到控制网站权限的目的。
大象只为你·2024-01-07 19:15

网络安全笔记

网络安全学习笔记(杂记)基础知识点url大小写判断windows(不敏感)和linux(敏感)服务器bugscanner.com、云悉等cms识别awvs,nessus,appscan,netsparker漏洞扫描工具
夜雨清城丶·2024-01-07 19:09

linux下隐藏tomcat版本号

cat/etc/redhat-release1、tomcat暴露版本号,可以让攻击者利用中间件版本利用漏洞进行攻击,故此,隐藏版本号2、进入tomcat的lib目录找到catalina.jar文件3、unzipcatalina.jar
pursue.dreams·2024-01-07 19:08

信息系统安全——基于 KALI 和 Metasploit 的渗透测试

攻击一:使用MSF复现“永恒之蓝”漏洞实验环境:Win7(关闭防火墙,开启SMB服务);
Hellespontus·2024-01-07 18:47

前端JS加密对抗由浅入深-1

前言:本文主要讲解,针对前端加密数据传输站点,如何进行动态调试以获取加密算法、秘钥,本次实验不涉及漏洞挖掘,仅为学习演示,环境为本地搭建环境此次站点加密方式为AES加密方式,现如今越来越多的站点使用前端数据加密
vlan911·2024-01-07 18:43

变量世界里的生存法则

简单来说,就是每次博弈之后,棋手双方把刚才的对局重复一遍,这样就可以加深对这盘对弈的印象,也可以找出双方攻守的漏洞,是用于自省和提高自己的好方法。
AbigaleSpace·2024-01-07 18:44

Tor 浏览器存在严重漏洞 或泄露用户真实 IP 地址

网络安全公司WeAreSegment研究人员FilippoCavallarin近期在FireFox浏览器中发现一处关键漏洞——TorMoil,能够导致用户真实IP地址在线泄漏。
weixin_34099526·2024-01-07 17:10

如何从日志文件溯源出攻击手法?

,如果想要查清系统遭到黑客入侵的原因或漏洞,通过日志查找是一种很好的方法。日志文件是由服务器提供的非常有价值的信息。几乎所有的服务器,服务和应用程序都提供某种日志记录。但是什么是日志文件?
RuoLi_s·2024-01-07 17:07

用友NC word.docx 任意文件读取漏洞复现

0x02漏洞概述用友NC系统word.docx等接口存在任意文件读取漏洞,未经身份认证的攻击者可以通过此漏洞获取敏感信息,使系统处于极不安全状态。0x03复现环境FOFA:body="UCl
OidBoy_G·2024-01-07 16:38

利用Fastcgi+PHP-FPM非授权访问实现代码执行

目录FastcgiRecordFastcgiTypePHP-FPM(FastCGI进程管理器)Nginx(IIS7)解析漏洞security.limit_extensions配置漏洞演示今天要和大家分享的是利用
未知百分百·2024-01-07 16:36

ATT&CK视角下的信息收集:主机发现

目录1、利用协议主动探测主机存活利用ICMP发现主机利用ARP发现主机利用NetBIOS协议发现主机利用TCP/UDP发现主机利用DNS协议发现主机利用PRC协议发现主机程序2、被动主机存活检测利用Browser主机探测存活主机利用ip段探测主机存活利用net命令探测主机存活利用arp命令探测主机存活利用HOSTS文件探测主机存活利用DNS缓存探测主机存活3、内网多网卡主机发现前提条件:分类:利用
未知百分百·2024-01-07 16:06

Linux安全加固总结

Linux安全加固更新操作系统及软件版本:定期进行系统、内核、应用程序等组件的更新,确保使用最新的修复了已知漏洞的版本。
一坨小橙子ovo·2024-01-07 15:09

记一次x86 kvm虚机缺失 tlb flush 引发的 CVE 漏洞

文章目录1背景介绍2vcpu延迟远程tlbflush机制及原理3tlbflush缺失及CVE漏洞触发1背景介绍linux5.5版本以下才会触发,之后的版本已经修复该问题。
内核新视界·2024-01-07 15:34

[转]hacker入门——最好用的渗透测试工具

渗透测试,是专业安全人员为找出系统中的漏洞而进行的操作,这也是进行攻击前的第一个环节。
xian_wwq·2024-01-07 14:41

渗透系列:Kali Linux安装以及使用(渗透整个流程都有涉及到,请见 9.kali工具)--- 持续更新中

KaliLinux安装以及使用前言:VMware相关`9.Kali工具`这块有很多对应的链接,比如无线攻击所用的mdk3、kims、aircrack-ng,信息收集所用的nmap系列一.VMware安装
坦笑&&life·2024-01-07 14:11

Hacker入门——最好用的渗透测试工具

渗透测试,是专业安全人员为找出系统中的漏洞而进行的操作,这也是进行攻击前的第一个环节。
NoBody19xx·2024-01-07 14:10

ejs默认配置 原型链污染

文章目录ejs默认配置造成原型链污染漏洞背景漏洞分析漏洞利用例题[SEETF2023]ExpressJavaScriptSecurityejs默认配置造成原型链污染参考文章漏洞背景EJS维护者对原型链污染的问题有着很好的理解
_rev1ve·2024-01-07 13:26

SearchSploit

SearchSploit文章目录SearchSploit语法选项使用实例漏洞更新基本搜索标题搜索复制到文件夹显示完整路径删除不想要的结果利用管道输出最后Exploit-db是Kalilinux官方团队维护的一个安全项目
蛊明·2024-01-07 12:16

Linux sudo 漏洞 CVE-2019-14287

CVE-2019-14287分析文章(推荐)http://blog.itpub.net/69912109/viewspace-2660947/其他参考https://www.freebuf.com/vuls/217089.html利用前提sudo-v<1.8.28知道当前用户的密码当前用户存在于sudo权限列表复现创建用户useraddtest_sudo然后用root身份在/etc/sudoers
HAPPYers·2024-01-07 11:16

第一节:基础入门-操作系统&名词&文件下载&反弹 SHELL&防火墙绕过

EXP:全称Exploit”,中文”利用,指利用烈统漏洞进行攻击的动作Pavload:中文有效就荷”,指成功exploit之后,真正在目标系统执行的代码或指令Shellcode:简单翻译’shell代
kabu....·2024-01-07 08:59

第二节:基础入门-Web 应用&架构搭建&漏洞&HTTP 数据包&代理服务器

基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器1、网站搭建前置知识#网站搭建前置知识域名,子域名,DNS,HTTP/HTTPS,证书等购买一台服务器,填完信息之后,会有两个内外网地址,
kabu....·2024-01-07 08:54

父亲的眼泪

好多措施都能被学生找出漏洞。好多学生备有两三甚至
倏云·2024-01-07 07:30

网络安全红队常用的攻击方法及路径

一、信息收集收集的内容包括目标系统的组织架构、IT资产、敏感信息泄露、供应商信息等各个方面,通过对收集的信息进行梳理,定位到安全薄弱点,从而实施下一步的攻击行为。
廾匸0705·2024-01-07 07:18

提交漏洞报告的细节和利用

细节昨天在后台收到了几个漏洞报告,忍不住吐槽一下,其中一篇写了可以SSRF访问内网Jenkins,虽然SSRF漏洞确实是存在的,可是人家的Jenkins在外网就可以访问到!!!
火线安全平台·2024-01-07 07:55

【v8漏洞利用模板】starCTF2019 -- OOB

文章目录前言参考题目环境配置漏洞分析前言一道入门级别的v8题目,不涉及太多的v8知识,很适合入门,对于这个题目,网上已经有很多分析文章,笔者不再为大家制造垃圾,仅仅记录一个模板,方便以后使用参考从一道CTF
XiaozaYa·2024-01-07 06:04

外泌体多组学07-骨髓肥大细胞来源外泌体lncRNA与miRNA的有效数据量

目前市面上有很多公司外泌体RNA测序推荐的数据量很少,为了合理评价一个合适的有说服力的有效数据量,我们对公开发表的相关外泌体文章和数据进行检索和信息收集,此次文章如下:文章信息文献标题:Characterizationofprotein
_十三·2024-01-07 05:24

高中记忆碎片四篇:时光与你,别来无恙!

到我了,我背的还算流畅,可以说基本没有漏洞,只是语速慢了点。张老师对我说:“嗯,你是前三个里背得最好的,但语速慢了一点,希望你以后的速度要加快。”
榆龙·2024-01-07 05:54

2022-03-22堵住时间的漏洞

最近时间安排不太顺利,总比预计的要多花时间。往往任务刚过半,已经到了不得不去睡觉的时间,而且这个睡觉时间也比预计晚了太久。时间都去哪儿了?一个可能是被我不经意间浪费掉了。一个可能是预计的时间不够客观。总觉得自己在做饭吃饭上花去太多时间,娃在家上网课,中午11点30备饭,娃12点15下课,母女共食,我收拾完残局,怎么也得12点40。晚上6点备饭,老公近7点进门,全家开饭围桌而食,收拾完,怎么也得近8
花火喜珠·2024-01-07 05:15

服务器报的漏洞解决办法

RHSA-2016:2674:libgcryptsecurityupdate(Moderate):yumupdatelibgcryptRHSA-2017:1372:kernelsecurityandbugfixupdate(Moderate):yumupdatekernelyumupdatekernel-develyumupdatekernel-firmwareyumupdatekernel-he
poem-rain·2024-01-07 04:04

用友 NC IUpdateService XXE漏洞复现

0x02漏洞概述用友NCIUpdateService接口存在XML实体注入漏洞,未经身份认证的攻击者可以通过此漏洞获取敏感信息,读取系统内部文件,使系统处于极不安全状态。
OidBoy_G·2024-01-07 03:35

金和OA C6 MailTemplates.aspx SQL注入漏洞复现

0x02漏洞概述金和OAC6MailTemplates.aspx接口处存在SQL注入漏洞,攻击者除了
OidBoy_G·2024-01-07 03:35

用友GRP-U8 ufgovbank.class XXE漏洞复现

0x02漏洞概述用友GRP-U8R10ufgovbank.class存在XML实体注入漏洞,攻击者可利用xxe漏洞获取服务器敏感数据,可读取任意文件以及ssrf攻击,存在一定的安全隐患。
OidBoy_G·2024-01-07 03:34

用友GRP-U8 license_check.jsp SQL注入漏洞复现

0x02漏洞概述用友GRP-U8R10行政事业内控管理软件license_check.jsp接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。
OidBoy_G·2024-01-07 03:04

weblogic反序列化之T3协议(CVE-2015-4582)

基于T3协议的weblogic反序列化漏洞之前说过在weblogic里面其实反序列化漏洞利用中大致分为两种,一个是基于T3协议的反序列化漏洞,一个是基于XML的反序列化漏洞,这篇来分析一下基于T3协议的
Ys3ter·2024-01-07 02:54

weblogic反序列化之T3协议

前言weblogic的反序列化漏洞分为两种,一种是基于T3协议的反序列化漏洞,一个是基于XML的反序列化漏洞,这篇来分析一下基于T3协议的反序列化漏洞,本文参考了很多师傅的文章,我会贴在最后面。
snowlyzz·2024-01-07 02:54

安全加固之weblogic屏蔽T3协议

一、前言开放weblogic控制台的7001端口,默认会开启T3协议服务,T3协议则会触发的WeblogicServerWLSCoreComponents中存在反序列化漏洞,攻击者可以发送构造的恶意T3
有莘不破呀·2024-01-07 02:51
上一页 59 60 61 62 63 64 65 66 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他