E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
CVE复现
【漏洞
复现
】宏景ehr-hcm-loadhistroyorgtree-sql注入
目录0x01产品简介0x02漏洞概述0x03网络测绘0x04漏洞
复现
0x05Nuclei0x01产品简介宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效
青衫R
·
2024-01-31 23:06
漏洞复现
web安全
【漏洞
复现
】宏景ehr-hcm-khfieldtree-sql注入
目录0x01产品简介0x02漏洞概述0x03网络测绘0x04漏洞
复现
0x05Nuclei0x01产品简介宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效
青衫R
·
2024-01-31 23:06
漏洞复现
sql
数据库
【漏洞
复现
】宏景ehr-trainplan-tree-sql注入
目录0x01产品简介0x02漏洞概述0x03网络测绘0x04漏洞
复现
0x05Nuclei0x01产品简介宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保
青衫R
·
2024-01-31 23:06
漏洞复现
web安全
宏景eHR get_org_tree.jsp SQL注入漏洞
复现
资产测绘app=“HJSOFT-HCM”漏洞
复现
POST/templates/attestation/
keepb1ue
·
2024-01-31 23:36
漏洞复现
sql
web安全
安全
【漏洞
复现
】宏景ehr-hcm-view-sql注入
目录0x01产品简介0x02漏洞概述0x03网络测绘0x04漏洞
复现
0x05Nuclei0x01产品简介宏景eHR人力资源管理软件面向复杂单组织或多组织客户,支持流程,B/S架构。
青衫R
·
2024-01-31 23:36
漏洞复现
sql
数据库
【
复现
】宏景EHR SQL注入漏洞_32
目录一.概述二.漏洞影响三.漏洞
复现
1.漏洞一:四.修复建议:五.搜索语法:六.免责声明一.概述宏景EHR从基础事务、业务协同、人才战略、HR商务智能、集成应用五个层面构建e-HR系统,包括组织机构、岗位管理
穿着白衣
·
2024-01-31 23:35
安全漏洞
安全
web安全
系统安全
网络安全
数据库
宏景eHR FrCodeAddTreeServlet SQL注入漏洞
复现
(含nuclei-POC)
免责声明由于传播、利用本CSDN所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!一、产品介绍宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。二、漏洞描述宏景eHRFrCodeAddTreeServlet接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执
0xOctober
·
2024-01-31 23:35
漏洞复现
安全
web安全
网络安全
宏景eHR FrCodeAddTreeServlet SQL注入漏洞
复现
前言免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。一、产品简介宏景eHR是一款面向国有企事业单位的人力资源管理数智化软件产品,旨在帮助企业实现人力资源的数字化和智能化管理。二、漏洞描述该系统FrCodeAddTreeServlet接口存在SQ
明丨通
·
2024-01-31 23:34
sql
数据库
网络安全
万户 ezOFFICE DocumentEdit.jsp SQL注入漏洞
复现
0x01产品简介万户OAezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日常工作紧密结合起来,有效提高工作效率。0x02漏洞概述万户ezOFFICEDocumentEdit.jsp存在SQL注入漏洞。由于'
OidBoy_G
·
2024-01-31 23:03
漏洞复现
安全
web安全
使用Python处理教育学领域的数据——以某篇期刊论文为例
为什么用这篇期刊文章呢,因为这篇文章的数据处理是我做的,比较熟,不用琢磨作者们的思路,也不用重新收集数据再
复现
,比较省事……一、数据类型与处理目的在教育学研究中,数据类型的分类如下:访谈相关数据,以访谈得到的录音
兴富同学
·
2024-01-31 22:56
网络异常案例一_RST
本文以及后面几篇会整理输出下以前处理过的一些网络相关的异常4G定向卡上网问题问题现象,自研路由器,使用运营商定向的4G卡上网,访问服务器异常,相应的开发同学反馈被服务器拒绝了;
复现
问题,同步在client
【随风飘流】
·
2024-01-31 21:53
网络
网络
RST
网络异常案例
2018-08-06-Struts2 Freemarker tags 远程代码执行漏洞(S2-053)
1.漏洞描述:漏洞名称:Struts2Freemarkertags远程代码执行漏洞(S2-053)漏洞
CVE
编号:
CVE
-2017-12611漏洞影响版本:Struts2.0.1-Struts2.3.33
最初的美好_kai
·
2024-01-31 21:24
CVE
-2024-0882 Scrm LinkWeChat 任意文件读取漏洞分析与研究
漏洞描述LinkWeChat是基于企业微信的开源SCRM系统,是企业私域流量管理与营销的综合解决方案。LinkWeChat基于企业微信开放能力,不仅集成了企微强大的后台管理及基础的客户管理功能,而且提供了多种渠道、多个方式连接微信客户。并通过客情维系、聊天增强等灵活高效的客户运营模块,让客户与企业之间建立强链接,从而进一步通过多元化的营销工具,帮助企业提高客户运营效率,强化营销能力,拓展盈利空间。
昵称还在想呢
·
2024-01-31 20:50
java代码审计
安全
web安全
java
漏洞
复现
--Likeshop任意文件上传(
CVE
-2024-0352)
免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责一:漏洞描述Likeshop是一个100%开源免费的B2B2C多商户商城系统,支持官方旗舰店,商家入驻,平台抽佣+商
芝士土包鼠
·
2024-01-31 20:49
漏洞复现
web安全
网络安全
安全
CVE
-2024-0738 Mldong ExpressionEngine RCE漏洞分析
漏洞描述Avulnerability,whichwasclassifiedascritical,hasbeenfoundin????mldong1.0.ThisissueaffectsthefunctionExpressionEngineofthefilecom/mldong/modules/wf/engine/model/DecisionModel.java.Themanipulationlea
昵称还在想呢
·
2024-01-31 20:49
java代码审计
java
web安全
安全
开发语言
spring
boot
CVE
-2022-27925 Zimbra任意文件上传漏洞
复现
目录0x01声明:0x02简介:0x03漏洞概述:0x04影响版本:0x05环境搭建:环境准备:环境搭建:0x06漏洞
复现
:利用POC:0x07流量分析:0x08修复建议:0x01声明:仅供学习参考使用
Evan Kang
·
2024-01-31 20:18
漏洞复现【Free】
CVE-2022-27925
网络安全
安全威胁分析
web安全
likeshop开源免费商用电商系统存在任意文件上传漏洞
CVE
-2024-0352
1.likeshop开源免费商用电商系统简介微信公众号搜索:南风漏洞
复现
文库该文章南风漏洞
复现
文库公众号首发likeshop开源免费商用电商系统2.漏洞描述Likeshop是Likeshop开源的
sublime88
·
2024-01-31 20:47
漏洞复现
开源
安全
web安全
网络
GitHub 轮换密钥,以减轻
CVE
-2024-0200 漏洞带来的影响
BleepingComputer网站披露,GitHub轮换了12月份修补的漏洞可能泄露的密钥,漏洞被追踪为
CVE
-2024-0200,不仅允许威胁攻击者在未打补丁的服务器上远程执行代码,还支持威胁攻击者访问生产容器的环境变量
FreeBuf_
·
2024-01-31 20:16
github
CVE
-2024-0352 likeshop v2.5.7文件上传漏洞分析
本次的漏洞研究基于thinkPHP开发开的一款项目.....漏洞描述Likeshop是Likeshop开源的一个社交商务策略的完整解决方案,开源免费版基于thinkPHP开发。Likeshop2.5.7.20210311及之前版本存在代码问题漏洞,该漏洞源于文件server/application/api/controller/File.php的参数file会导致不受限制的上传。fofa查询语句i
昵称还在想呢
·
2024-01-31 20:45
PHP代码审计
安全
web安全
php
LiveData异常后不走回调
正好本地也
复现
了这个问题,疯狂刷新调用接口,UI也没发生变化。赶紧debug一下,发现LiveData.setValue()此时卡在了dispatchingValue
折剑游侠
·
2024-01-31 19:32
[BUUCTF]-PWN:ciscn_2019_es_7解析
的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell解法一(系统调用exe
cve
Clxhzg
·
2024-01-31 19:11
安全
linux
运维
vite生产环境报错 TypeError: Failed to fetch dynamically imported module: xxx
问题描述vue3+vite项目:有时跳转页面会卡住,控制台信息如下:TypeError:Failedtofetchdynamicallyimportedmodule:xxx信息收集用户端
复现
了问题,从现场获取到控制台日志
Thetimezipsby
·
2024-01-31 17:09
问题
前端
vue.js
javascript
YApi Mongo注入导致RCE漏洞
复现
YApi是高效、易用、功能强大的api管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护API,YApi还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。Api由于base.js没有正确对token参数进行正确过滤,导致存在远程代码执行漏洞。1.漏洞级别高危2.漏洞搜索fofaapp="Ap
fly夏天
·
2024-01-31 17:06
漏洞复现
yapi
漏洞复现
RCE漏洞
安全漏洞
漏洞
复现
—Jenkins反序列化漏洞
CVE
-2017-100035/
CVE
-2018-1000861
Jenkins反序列化漏洞
CVE
-2017-1000353/
CVE
-2018-1000861基础知识漏洞原理涉及版本
复现
思路
复现
—
CVE
-2017-1000353(使用vulhub靶场环境未
复现
成功,在本文中仅叙述原理和方法
「已注销」
·
2024-01-31 17:05
渗透测试
jenkins
安全漏洞
安全
[
CVE
-2024-23897]Jenkins CLI 任意文件读取漏洞导致远程代码执行漏洞
一、软件背景Jenkins是一个流行的开源持续集成(CI)和持续交付(CD)工具,它可以帮助团队自动化软件开发中的各种任务和流程,从而提高效率和质量。二、漏洞简述JenkinsCLI是Jenkins内置的命令行页面。Jenkins受影响版本中使用args4j库解析CLI命令参数,该库默认将参数中@字符后的文件路径替换为文件内容,攻击者可利用该特性使用Jenkins控制器进程的默认字符编码读取Jen
一苇sec
·
2024-01-31 17:35
漏洞分析
jenkins
运维
jenkins任意文件读取漏洞
复现
与分析 -
CVE
-2018-1999002
jenkins任意文件读取漏洞
复现
与分析-
CVE
-2018-19990020x00漏洞影响版本Jenkinsweeklyuptoandincluding2.132JenkinsLTSuptoandincluding2.121.10x01
weixin_33894640
·
2024-01-31 17:34
运维
linux任意文件读取漏洞利用,Jenkins 任意文件读取漏洞(
CVE
-2018-1999002)
复现
与分析...
Jenkins7月18日的安全通告修复了多个漏洞,其中SECURITY-914是由Orange(博客链接:)挖出的Jenkins未授权任意文件读取漏洞。利用这个漏洞,攻击者可以读取Windows服务器上的任意文件,对于Linux,在特定条件下也可以进行文件读取。利用文件读取漏洞,攻击者可以获取到Jenkins的凭证信息,从而造成敏感信息泄露。另外,在很多时候,Jenkins的部分凭证和其内用户的帐
weixin_42148053
·
2024-01-31 17:34
linux任意文件读取漏洞利用
Goby 漏洞发布|Jenkins args4j 文件读取漏洞(
CVE
-2024-23897)
漏洞名称:Jenkinsargs4j文件读取漏洞(
CVE
-2024-23897)EnglishName:Jenkinsargs4jfilereadvulnerability(
CVE
-2024-23897
Gobysec
·
2024-01-31 17:04
Goby
漏洞
红队版
jenkins
漏洞验证
Goby
【漏洞
复现
】Jenkins CLI 任意文件读取漏洞(
CVE
-2024-23897)
2024年1月25日,Jenkins官方披露
CVE
-2024-23897JenkinsCLI任意文件读取漏洞致。
粉刷本领强
·
2024-01-31 17:04
漏洞复现
servlet
安全研究 | Jenkins 任意文件读取漏洞分析
欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~本文由云鼎实验室发表于云+社区专栏一、漏洞背景漏洞编号:
CVE
-2018-1999002漏洞等级:高危Jenkins7月18日的安全通告修复了多个漏洞
腾讯云开发者
·
2024-01-31 17:34
云计算
程序员
安全
jenkins
Jenkins任意文件读取漏洞(
CVE
-2024-23897)
复现
Jenkins有一个内置的命令行界面CLI,在处理CLI命令时Jenkins使用args4j库解析Jenkins控制器上的命令参数和选项。此命令解析器具有一个功能,可以将@参数中后跟文件路径的字符替换为文件内容(expandAtFiles)。具有Overall/Read权限的攻击者可以读取整个文件,未授权的攻击者仅能读取文件前几行内容。1.漏洞级别高危2.影响范围Jenkins<=2.441Jen
fly夏天
·
2024-01-31 17:33
漏洞复现
jenkins
web安全
任意文件读取
CVE
-2024-23897
复现
及IDS中snort防御规则制定
CVE
-2024-23897原理大致分析
CVE
-2024-23897是一个涉及Jenkins未授权文件读取的漏洞。
2077-hacker
·
2024-01-31 17:33
servlet
web安全
安全
网络安全
安全威胁分析
网络攻击模型
计算机网络
【已
复现
】Jenkins 任意文件读取漏洞(
CVE
-2024-23897)附POC下载
Jenkins是一个开源CI/CD工具,用于自动化开发流程,包括构建、测试和部署软件。2024年1月,互联网公开了一个Jenkins的任意文件读取漏洞。鉴于该漏洞易于利用,存在危害扩大的风险,且该系统数据较为敏感且影响范围广泛,建议所有使用Jenkins的企业尽快进行修复,以确保系统安全。漏洞描述Description漏洞成因命令行接口文件读取:Jenkins内置的命令行接口(CLI)存在一个特性
白帽子Elliot
·
2024-01-31 17:33
jenkins
运维
漏洞分析|Cacti命令执行漏洞 (
CVE
-2022-46169)
1.漏洞描述Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具,可为用户提供强大且可扩展的操作监控和故障管理框架。该漏洞存在于remote_agent.php文件中,未经身份验证的恶意攻击者可以通过设置HTTP_变量绕过身份验证,再通过构造特殊的$poller_id参数来触发proc_open()函数,成功利用此漏洞可在目标服务器上执行任意命令,获取服务
AttackSatelliteLab
·
2024-01-31 16:56
笔记
漏洞分析|Atlassian Confluence 远程代码执行漏洞(
CVE
-2023-22527)
1.漏洞描述AtlassianConfluence是一款由Atlassian开发的企业团队协作和知识管理软件,提供了一个集中化的平台,用于创建、组织和共享团队的文档、知识库、项目计划和协作内容。AtlassianConfluence的/template/aui/text-inline.vm接口处存在velocity模板注入,未经身份验证的攻击者可利用此漏洞构造恶意请求远程代码执行,可导致服务器失陷
AttackSatelliteLab
·
2024-01-31 16:56
atlassian
安全
漏洞分析|Adobe ColdFusion 反序列化漏洞(
CVE
-2023-29300)
1.漏洞描述AdobeColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。AdobeColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据反序列化漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。2.影响版本ColdFusion2018标签中的元素与属性将由StringHandler处理,标签会由Stru
AttackSatelliteLab
·
2024-01-31 16:26
adobe
安全
漏洞分析|Apache RocketMQ 远程命令执行漏洞(
CVE
-2023-33246)
1.漏洞描述RocketMQ是一个分布式消息和流数据平台,具有低延迟、高性能、高可靠性、万亿级容量和灵活的可扩展性。ApacheRocketMQ此漏洞是一个远程命令执行漏洞。RocketMQ的NameServer、Broker、Controller等多个组件缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造RocketMQ协议内
AttackSatelliteLab
·
2024-01-31 16:26
rocketmq
网络安全
漏洞分析|Apache ActiveMQ RCE漏洞
复现
(CNVD-2023-69477)
1.漏洞描述ActiveMQ是一个开源的消息代理和集成模式服务器,它支持Java消息服务(JMS)API。它是ApacheSoftwareFoundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。ApacheActiveMQ中存在远程代码执行漏洞,ApacheActiveMQ在默认安装下开放了61616服务端口,而该端口并没有对传入数据进行适当的过滤,从而使攻击者
AttackSatelliteLab
·
2024-01-31 16:25
apache
activemq
漏洞分析|Craft CMS 远程代码执行漏洞 (
CVE
-2023-41892)
**1.概述Pixel&tonicCraftCMS是美国Pixel&tonic公司的一套内容管理系统(CMS)。在4.4.15之前的版本中,存在一个远程代码执行漏洞。CraftCMS是一个用于创建数字体验的平台,这是一个高影响、低复杂性的攻击向量。2.详细描述受影响的CraftCMS版本存在代码注入漏洞,该漏洞源于远程代码执行漏洞。为了缓解此问题,建议运行4.4.15之前版本的用户至少更新到4.4
AttackSatelliteLab
·
2024-01-31 16:55
安全
网络安全
威胁分析
Struts2 S2-059 远程代码执行漏洞
复现
0x00简介Struts2是Apache软件组织推出的一个相当强大的JavaWeb开源框架,本质上相当于一个servlet。Struts2基于MVC架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级Javaweb应用程序,它利用并延伸了JavaServletAPI,鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心,吸收了
5f4120c4213b
·
2024-01-31 16:01
WARNING: The requested image‘s platform (linux/arm64/v8) does not match the detected host platform
学习使用docker时遇到的问题问题
复现
:1.在Mac系统中,构建了镜像dockerbuild-timage-name:tag.2.发布到了dockerhub中dockertaglocal-image-name
Iris_Pu
·
2024-01-31 16:45
docker
linux
运维
docker
服务器
【论文
复现
】Implicit Identity Representation Conditioned Memory Compensation Network for Talking Head Vide
MCNET:用于头部说话视频生成的隐式身份表示条件记忆补偿网络。code:https://github.com/harlanhong/ICCV2023-MCNET?tab=readme-ov-filepaper:https://arxiv.org/abs/2307.09906论文介绍任务目标:给定静态源图像和动态驱动视频,生成talkinghead视频。动机:Talkinghead视频生成的目的是
李加号pluuuus
·
2024-01-31 15:37
论文阅读
论文复现
talking
face
论文阅读
【论文
复现
】DCFace: Synthetic Face Generation with Dual Condition Diffusion Model
DCFace:用双条件扩散模型生成合成人脸。CVPR2023.4code:mk-minchul/dcface(github.com)paper:[2304.07060]DCFace:SyntheticFaceGenerationwithDualConditionDiffusionModel(arxiv.org)论文介绍应用:生成用于训练人脸识别模型的合成数据集。背景:生成合成数据集需要考虑多个因素
李加号pluuuus
·
2024-01-31 15:32
python
人工智能
机器学习
Boosting semantic human matting with coarse annotations
前向推理在modelscope中开源了,但是训练没开源,且是基于TensorFlow的,
复现
起来是比较麻烦的。
Kun Li
·
2024-01-31 13:24
应用算法
matting
抠图
前端回车无限触发点击事件与textarea文本域出现空格问题
1.准备2.问题
复现
3.问题解决二、textarea文本域出现空格1.准备2.问题
复现
3.问题解决总结前言记录两个在前端实际开发过程中的小问题(也能是机制)一、前端回车无线触发点击事件?
~鱼骨头。
·
2024-01-31 12:39
前端
神秘学原理。
(不符合常识的现象),超能力(与神秘现象有关),预言未来,算命占卜,辨别与解释神秘现象(一些神秘事件,事后被证明是骗局;魔术和魔法,有的是超能力、有的是骗术;有些大家习以为常的事,背后是无法解释、无法
复现
luj_1768
·
2024-01-31 12:37
算法
数据库
c语言
经验分享
开发语言
2024零基础网路安全入门干货 (必看)
5、腾讯玄武安全实验室各种
CVE
,漏洞。6、SecWiki安全维基,各种安全资讯
网络安全乔妮娜
·
2024-01-31 11:41
安全
网络安全
web安全
服务器
网络
Redis(十)SpringBoot集成Redis
文章目录连接单机mvnYMLController.javaRedisConfig.java连接集群YML问题
复现
RedisTemplate方式连接单机mvnorg.springframework.bootspring-boot-starter-data-redisyourversionYMLserver.port
Lucky_Turtle
·
2024-01-31 11:06
Java
redis
spring
boot
bootstrap
Apache Flink 文件上传漏洞
CVE
-2020-17518 漏洞
复现
ApacheFlink文件上传漏洞
CVE
-2020-17518漏洞
复现
一、漏洞描述二、漏洞影响三、漏洞
复现
1、环境搭建2、漏洞
复现
四、漏洞POC五、参考链接一、漏洞描述ApacheFlink是一个开源的流处理框架
Senimo_
·
2024-01-31 10:24
漏洞复现
Apache
Flink
Flink
文件上传漏洞
CVE-2020-17518
漏洞复现
安全
Apache Flink jobmanager/logs 目录穿越漏洞
CVE
-2020-17519 漏洞
复现
ApacheFlinkjobmanager/logs目录穿越漏洞
CVE
-2020-17519漏洞
复现
一、漏洞描述二、漏洞影响三、漏洞
复现
1、环境搭建2、漏洞
复现
四、漏洞POC五、参考链接一、漏洞描述ApacheFlink
Senimo_
·
2024-01-31 10:24
漏洞复现
Apache
Flink
jobmanager/logs
目录穿越漏洞
CVE-2020-17519
漏洞复现
上一页
9
10
11
12
13
14
15
16
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他