某盾信息安全管理审计系统RCE漏洞(1day)
0x01 漏洞复现命令执行下载password文件!0x02 红蓝偶像练习生小圈子圈子主要研究方向渗透测试、红蓝对抗、钓鱼手法思路、武器化操作,红队工具二开与免杀。圈内不定期分享红队技术文章,攻防经验
阅读全文鱼与熊掌就要兼得!M芯片使用pwntools&PWN环境搭建
防走失:https://gugesay.com/archives/4703不想错过任何消息?设置星标↓ ↓ ↓前言眼看就要奔50的人了,体力和精力是愈发不能和年轻人比了,作为十多年前的一名前CTFer
阅读全文一个很牛逼的信息收集工具
幻影(Phantom)SRC漏洞挖掘辅助工具Tips:由于这个项目刚刚开始,所以可能会有一些bug,师傅们可以提Issues哦,我们都会尽快处理的~一款面向 SRC 场景的浏览器扩展),自动收集页面及
阅读全文iOS 18.6.1 0-click RCE POC
该漏洞似乎存在于 Apple 的 JPEG 无损解压缩代码实现中,该代码用于 Adobe 的 DNG 文件格式。我修改了DNG 文件的SamplePerPixel目录SubIFD以访问存在漏洞的函数,
阅读全文开箱即用:NTLM 将低权限 HTTP 身份验证中继到 LDAP
当在没有凭证材料的放弃访问或网络钓鱼有效负载的情况下进行操作时,您可以使用当前用户上下文中的低权限 HTTP 身份验证来执行到 LDAP 的代理中继,然后通过 SOCKS5 代理执行工具以完全脱离主机
阅读全文紧急更新!苹果高危0day漏洞曝光,1张图片即可导致内存损坏
近日,苹果公司发布紧急安全更新,修复其ImageIO框架中一个已被黑客积极利用的零日漏洞CVE-2025-43300。该漏洞危险性极高,攻击者仅需1张图片即可致使未更新的苹果设备内存损坏、应用程序崩
阅读全文FreeBuf周报 | 特斯拉车主隐私 “裸奔”;Windows安全更新引发硬盘故障
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!🚗特斯拉车主隐私 “裸奔”,GPS 坐标、驾驶习惯等随意获取🌎Wi
阅读全文流行JavaScript库存在严重漏洞,威胁全球Web安全
Part01漏洞概述广泛使用的JavaScript加密库sha.js近日披露了一个严重安全漏洞。该库实现了安全哈希算法(Secure Hash Algorithm,SHA)系列,每周下载量超过140
阅读全文这个 SASE 厂商准备上市,营收增长30.7%|附招股书下载
8月22日(路透社)——网络安全企业Netskope于周五向美国证券交易委员会(SEC)提交首次公开募股(IPO)申请。据其披露的上市文件显示,在2026财年上半年,该公司营收同比增长30.7%,净亏
阅读全文百万隐私文件在暗网公开拍卖
高危漏洞 紧急修复指南 RCE Patch 英国电信巨头Colt确认遭勒索攻击,迫使其主动下线部分系统并造成在线门户及语音API等服务持续中断,黑客声称窃取100万份文件并在暗网以20万美元的价
阅读全文与“彤彤”恋爱18天,花了20万!|500多万保住了!
恋爱18天花了20万 民警急了:赶紧分!到底怎么回事……近日李先生在网上刷短视频时结识了一名叫“彤彤”的女孩两人相谈甚欢迅速确立了情侣关系还共同下载了情侣APP记录恋爱日常聊了没多久彤彤就向李先生透
阅读全文一图读懂 | 国家标准GB/T 31722—2025《网络安全技术 信息安全风险管理指导》
文章来源:全国网安标委黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!如侵权请私聊我们删文END
阅读全文20个网站备份泄漏漏洞挖掘技巧!
网站备份文件泄露,绝不是小问题。在网络安全攻防实战中,备份文件泄露一直被列为“高风险漏洞”,却往往被企业开发者所忽视。一次偶然的备份文件泄露,可能成为整个系统沦陷的起点。本文将分享20个基于实战经验的
阅读全文FastBurp 是一款基于浏览器扩展的轻量级HTTP/HTTPS请求拦截、重放、分析和AI辅助安全分析浏览器插件
工具介绍FastBurp - 新一代HTTP请求分析工具。🚀 FastBurp 是一款基于浏览器扩展的轻量级HTTP/HTTPS请求拦截、重放、分析和AI辅助安全分析浏览器插件,无需安装额外软件,即开
阅读全文【Java代码审计】手把手带你学,小白也能变大神!更有重磅网安就业班,未就业不满意免费退!
一、Java 代码审计高阶实战班1、《Java 代码审计高阶实战班》第二期,开始招生啦! 在第一期 100 余节夯实基础与实战的积淀之上,第二期又重磅新增 20 节深度实战直播课程!本套课程一次付费,
阅读全文.NET内网实战:通过 VisualUiaVerifyNative 反序列化漏洞执行命令
在红队行动中,利用带有微软签名的白名单可执行文件来绕过防护措施是一种常见战术。许多安全产品会基于数字签名来判定文件的可信度,而微软签名往往意味着默认信任。攻击者正是借助这一点,将恶意操作隐藏在“合法”
阅读全文.NET 安全攻防知识交流社区
01欢迎加入社区为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信
阅读全文从入门到进阶,体系化图文概述和搭建 .NET 环境
.NET 是由 Microsoft 创建的开发平台,平台包含了语言规范、工具、运行,支持开发各种应用,如Web、移动、桌面等。.NET框架有多个实现,如.NET Framework、.NET Core
阅读全文【Java代码审计】手把手带你学,小白也能变大神!更有重磅网安就业班,未就业不满意免费退!
一、Java 代码审计高阶实战班1、《Java 代码审计高阶实战班》第二期,开始招生啦! 在第一期 100 余节夯实基础与实战的积淀之上,第二期又重磅新增 20 节深度实战直播课程!本套课程一次付费,
阅读全文网安原创文章推荐【2025/8/22】
2025-08-22 微信公众号精选安全技术文章总览洞见网安 2025-08-22 0x1 补档:Grafana 跨站点脚本(XSS)漏洞完全复现(CVE-2025-4123)BEAR HACKE
阅读全文【已复现】Docker Desktop Engine API 未授权访问漏洞(CVE-2025-9074)
Docker Desktop 是Docker的官方桌面版,支持macOS、Windows 和 Linux系统。它将 Docker 引擎、CLI 客户端、Docker Compose、Notary、Ku
阅读全文在线旅游及旅行管理系统项目sql注入
1.前言之前在网上随便逛逛的时候,发现一个有各种各样的PHP项目的管理系统,随便点进一个查看,发现还把mysql版本都写出来了,而且还是PHP语言https://itsourcecode.com/f
阅读全文1v1论文辅导!985/211专业对口导师手把手辅导!可服务至发表或过盲审
学术圈流行一句经典名言:读研(博)的快乐只有两天。一天是录取,一天是毕业!刚刚还沉浸在上一届学姐学长毕业的快乐中,一转眼就要准备自己的开题和写作,真正的痛苦开始了我相信很多同学都有过这样的念头,这个论
阅读全文【证书挖掘】手把手EDUSRC、CNVD挖洞技巧分享
扫码加圈子获内部资料网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈
阅读全文信息收集实战,进入某校内网
作者:尘佑不尘原文:https://xz.aliyun.com/t/16089选择目标进入补天,选择一个目标信息收集真实ip查找使用nslookup xxx.xxx.xxx虽然只有一个ip回显,但是访
阅读全文通过未净化的 SVG 文件上传实现的存储型 X-S-S
官网:http://securitytech.cc/你好,Bug Hunters 社区,新的 write-up,新收获 ✪♕上次我提到这段时间转去挖外部项目,我开始了一个项目,我们叫它 “pharao
阅读全文