漏洞描述:致远OA是北京致远互联软件股份有限公司开发的一套办公自动化软件。近日,致远发布安全公告,修复了一处短信验证码认证缺陷导致的任意用户密码修改漏洞,攻击者可以利用此漏洞修改任意账号的密码,进而登...
09月08日197 views评论do
e
【漏洞情报】致远OA前台密码重置漏洞
09月08日197 views评论do
e
09月08日197 views评论do
e
2023HVV情报共享-day1
某服-应用交付管理系统-RCE(已复现) 漏洞路径:/rep/login 由于该登录接口的clsMode参数可控,可通过拼接n{cmd}n进行命令执行 金山WPS-RCE 受害者打开攻击者精心构造的文...
08月10日314 views评论action
do
GlassFish-Filter内存马分析
GlassFish-Filter内存马分析目录前言分析FilterFilter内存马获取上下文具体实现前言Glassfish5.0.0分析 glassfish Filter内存马环境搭建HelloFi...
07月11日25 views评论filter
servlet
【论文分享】对全球范围DNS-over-HTTPS的性能测量
今天分享的论文主题为DoH性能测量,由来自伊利诺伊大学厄巴纳-香槟分校和斯坦福大学的研究人员共同完成。该论文使用代理网络对DoH和Do53的性能进行了测量,比较了四家公共DoH提供商在各方面的表现。此...
06月25日8 views评论do
加密
Jeecms内容管理系统漏洞一览
简介JEECMS是基于java技术开发继承其强大、稳定、安全、高效、跨平台等多方面的优点;采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构安全性做得非常...
06月07日158 views评论do
jee
致远OA thirdpartyController.do Session泄露 任意文件上传漏洞
漏洞描述:致远OA通过发送特殊请求获取session,在通过文件上传接口上传webshell控制服务器网络测绘:title="致远"漏洞复现:流程:首先是构造数据包获取管理cookie值,然后携带co...
05月16日184 views评论do
致远OA
某应用虚拟化系统远程代码执行
漏洞简介 微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服...
04月25日18 views评论虚拟化
远程代码执行
Java内存马查杀GUI工具
项目地址https://github.com/4ra1n/shell-analyzer注意:请勿在生产环境使用,存在打崩业务的风险,目前适用于自己搭建靶机分析学习介绍关于Java Web内存马查杀的文...
04月06日25 views评论filter
端口
Weblogic 绕waf实战
Part1 前言 最近安服的同事打比赛,给我陆续发了好几个没有拿下来的Weblogic的站点,一直在想尽各种办法研究,争取拿下权限。各种WAF防护、终端防护、不出网、SUID不一致、EXP没回显等等原...
04月01日40 views评论weblogic
代码执行
实战|记一次从供应链的未授权访问到重大成果
在某行动期间,参加了同时举行的省级行动。由于两场行动有交集,因此常规的靶标攻克难度很大。故而在靶标中选择了一个非集团的单位进行测试。尝试过在各搜索引擎收集该目标的资产,但由于目标疑似并无互联网资产,导...
03月27日23 views评论js
账号
PHP开发服务器远程源代码泄露漏洞原理剖析
PHP Built-in Server是PHP自带的Web服务器,多用于在研发阶段快速启动并运行一个可以执行PHP脚本的Web服务器。由于其性能及安全性并没有得到完好的保障,故PHP官方并不建议在生...
03月25日16 views评论服务器
源码
实战 | 记一次授权网络攻防演练(上)
作者:yangyangwithgnu原文地址:https://www.freebuf.com/vuls/211842.html完整攻击链大概包括信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移...
03月16日30 views评论攻防演练
验证码