【7.9】-威胁情报汇总
汉王 e 脸通综合管理平台存在多处漏洞,包括 EFaceGo upload.do 任意文件上传漏洞、wxLogin.do 敏感信息泄露漏洞、addVisitDeviceAppointmentInfoT
阅读全文【7.8】-威胁情报汇总
漏洞情报:浙江大华技术股份有限公司 DSS 前台 SSRF 漏洞普华科技 PowerPms ForgotPassword SQL 注入漏洞博采 CMS 文件上传漏洞PWS Dashboard 任意文件
阅读全文【7.4】-威胁情报汇总
漏洞情报:● 易宝 OA:getPosition 存在 SQL 注入漏洞● 汉王 e 脸通综合管理平台:getGroupEmployee.do 存在 SQL 注入漏洞● 紫光档案管理系统:存在任意文件
阅读全文【7.3】-威胁情报汇总
一、SQL 注入漏洞类百易资管云 org.edit.php SQL 注入漏洞:此类漏洞源于代码对用户输入的 SQL 语句过滤不严格,攻击者可通过构造恶意 SQL 语句非法访问或篡改数据库,对系统数据安
阅读全文域渗透-横向移动手法总结
前言:在内网渗透中,域内横向移动是一种常见的攻击手法。攻击者会利用此技术,以被攻陷的系统为跳板,访问域内其他主机,扩大资产(包括跳板机中的文档和存储的凭证,以及通过跳板机连接的数据库,域控制器等其他重
阅读全文从白帽角度浅谈SRC业务威胁情报挖掘与实战
原文首发在:先知社区https://xz.aliyun.com/news/183221 前⾔已是凌晨三点,想着写点什么,发现互联⽹上针对漏洞相关⽂章资源较多,⽽威胁情报相关内容却是少之⼜少。便创作此⽂
阅读全文速来!送《基于 CyberChef 的恶意样本分析指南》*3
前言: 在网络攻击无孔不入的今天,恶意软件如同隐藏在暗处的 “数字幽灵”,时刻威胁着个人隐私与企业数据安全。无论是窃取信息的木马,还是加密勒索的病毒,都让人防不胜防。如何精准识别并化解这些
阅读全文Shiro注入反序列化内存马流程
原文首发在:先知社区https://xz.aliyun.com/news/18263Apache Shiro是一个轻量级 Java 安全框架,核心功能包括:认证、授权和会话管理。 框架存在反序列化设计
阅读全文cs免杀loader2(bypass360,火绒6.0,defender)
原文首发在:先知社区https://xz.aliyun.com/news/18194昨天写的一个,实测过御三家,分享一下吧老规矩,我们先看效果效果展示1.bypass360测试时间是2025年6月6日
阅读全文高级免杀对抗&红队武器化开发六期来袭!!!
高级免杀对抗&红队武器化开发六期来袭本次培训解释权归鬼屋女鬼所有,与公众号运营者无关公众号不参与盈利,仅帮宣传!高级杀软对抗与红队武器化开发课程加入我们,直面真实对抗,锻造攻防利刃 !真实环境对抗演
阅读全文浅谈S3标准下存储桶应用中的安全问题
原文首发在:奇安信攻防社区https://forum.butian.net/share/4340什么是存储桶 想象存储桶就像你家里的一个大柜子,专门用来存放各种物品(文件)。在阿里云对象存储服务(OS
阅读全文手慢无!隐雾SRC(第七期)白嫖继续
.5202隐雾Src第七期/坚持从0-1匆忙了三年终于找到了自己的定位希望我们的课程能帮大家实现从0-11 课程介绍 课程旨在帮助学员从0到1实现漏洞挖掘能力的突破。五个阶段助力从0到1阶段一
阅读全文cyberstrikelab lab8 wp
信息收集先看看fscan全端口扫描记录存在一个cms网站去看看去找找这个zzzcms的漏洞Zzzcms 1.61 后台远程命令执行漏洞先弱口令 admin /admin123456 进入后台然后直接修
阅读全文议程大公开,精彩内容抢先看 | 蚂蚁SRC年度TOP颁奖盛典&安全交流会来袭
6月14日杭州,蚂蚁SRC年度活动来啦议程大公开,精彩内容抢先看!由清华大学&中关村实验室、Johns Hopkins等顶级高校带来的大模型前沿研究成果,与通义千问、豆包等知名大模型安全负责人带来的实
阅读全文解锁 AI 新玩法:快速搭建攻防知识文库
项目:PandaWiki1、项目介绍:PandaWiki 是一款 AI 大模型驱动的开源知识库搭建系统,帮助你快速构建智能化的 产品文档、技术文档、FAQ、博客系统,借助大模型的力量为你提供 AI 创
阅读全文高级免杀对抗&红队武器化开发六期来袭!!!
高级免杀对抗&红队武器化开发六期来袭本次培训解释权归鬼屋女鬼所有,与公众号运营者无关公众号不参与盈利,仅帮宣传!高级杀软对抗与红队武器化开发课程加入我们,直面真实对抗,锻造攻防利刃 !真实环境对抗演
阅读全文记某众测Fastjson<=1.2.68反序列化RCE过程
原文首发在:先知社区https://xz.aliyun.com/news/17489前言在某次众测过程中使用搜索引擎找到某单位部署的旁站,通过前端JS信息分析找到一处ssrf漏洞。在ssrf测试时根据
阅读全文内网对抗-横向移动手法大全
原文首发在:先知社区https://xz.aliyun.com/news/18020收集到域内用户和凭据后,为后续利用各种协议密码喷射通讯上线提供条件。这里注意域内域外是有差异的。我们需要判断当前获得
阅读全文年中钜惠|网安 618 福利!免费课 + 大额红包速领
没错!你没看错!!!今年618年中大促,玩大的!无套路!真优惠!福利一:大额返现!5月20日起前200个报名活动课程的学员最高返现800元!福利二:1000个免费培训!1000个免费培训名额,凡转发指
阅读全文[HTB] 靶机学习 Bucket
原文首发在:先知社区https://xz.aliyun.com/news/17998端口扫描nmap -sC -sV 10.10.10.21222/tcp open ssh OpenSSH
阅读全文绕RASP之内存马后渗透浅析
原文首发在:奇安信攻防社区https://forum.butian.net/share/4338在RASP的防御下,如何绕过waf以达到反序列化,进而RCE呢?题目:在邑网杯线下赛有题Springbo
阅读全文小迪VPC1红队内网渗透靶场-PHPRCE-永恒之蓝-防火墙上线-密码喷射-DC域控提权-weblogic
原文链接:https://www.freebuf.com/articles/web/430751.html引言近期利用闲暇时间,我对小迪老师提供的靶场环境进行了全面的渗透测试实战演练。本次记录旨在详细
阅读全文沈阳深蓝25HW二轮招录启动!
2025一、单位简介沈阳深蓝安全信息科技有限公司是一家专业的安全服务公司,我单位自2020年以公司的形式开展业务,至今已是第六年,因我司制度完善,技术能力较强,现金流充足且健康,当前我司与国内的上市网
阅读全文攻防实战之若依(RuoYi)框架漏洞战争手册
原文首发在:奇安信攻防社区https://forum.butian.net/share/4328当你在用若依时,黑客已经在用Shiro默认密钥弹你的Shell;当你还在纠结分页查询,攻击者已通过SQL
阅读全文记一次edu证书站从lfi到控制台接管
文章首发在:先知社区https://xz.aliyun.com/news/17949五一放假,因为最近腰不太好没法出去玩,所以在单位值班蹭电,边看小说边挖挖洞。因为一直想要个edu的证书,所以中午先简
阅读全文后端行情变了,差别真的挺大。。。
全球科技脉搏在2025年依然为AI剧烈跳动。l 当OpenAI宣布GPT-5突破千万亿参数级推理能力;l 当谷歌Gemini刷新多模态理解边界;l 当国内大厂争相推出千亿参数模型时...一个清晰的信号
阅读全文web+wx浏览器组合拳拿下edu证书站
原文首发在:先知社区https://xz.aliyun.com/news/17855这次是在某个无聊的假期闲逛edusrc礼品的时候,某个证书站有种莫名奇妙的魔力吸引了手中的鼠标,随后开始的一段证书挖
阅读全文实战攻防之Nacos漏洞
前言实战nacos漏洞复现记录一下,大佬勿喷。小白可以直接收藏下来学习一下很多poc我都直接给出来了,基本就是我的笔记。如果,有不对的可以指正一下,一起学习。nacos介绍Nacos是一个更易于构建云
阅读全文李白安全《实战攻防》第二期,解锁攻防新姿势!
实战攻防课程由某大厂攻防实验室攻击手开发并讲授,讲师拥有丰富的红队经验和一线安全服务经验,多次担任国家级攻防演练攻击手及省级攻防演练攻击手,荣获多个“最佳攻击手、优秀攻击手”称号。熟练掌握外网打点、钓
阅读全文