发表的所有文章 | CN-SEC 中文网

安全漏洞

【1day】大华智能物联综合管理平台justForTest用户登录漏洞

漏洞描述浙江大华技术股份有限公司智能物联综合管理平台用户登录接口/evo-apigw/evo-oauth/oauth/token存在漏洞，使用用户justForTest/任意密码即可成功登录平台，...

12月17日371 views评论

阅读全文

安全文章

PHP流协议的底层实现分析

PHP内部实现了一些伪协议，为日常的开发提供了便利，但是也存在着一些安全隐患，本文从底层源码分析常用的伪协议有哪些安全隐患，以便在渗透测试或者日常开发中可以注意到这些隐患点。注：由于大家的叫法比较多...

12月17日21 views评论

阅读全文

安全漏洞

X微-云桥e-Bridge SQL注入漏洞

“ 人性的背后是白云苍狗,愿你我都是生活的高手。” 0x00.产品介绍 x微云桥e-Bridge OA是一种基于云计算和移动互联网技术的企业办公自动化(OA)解决方案。它由中国的企业软件开发公司泛微软...

12月17日64 views评论

阅读全文

CTF专场

WEB安全入门指南

01 如何学习WEB WEB分为三类,分别是CTF、BugHunter、RedTeam 1-1 CTF中的WEB CTF中的WEB题目类型： * 解题模式 * AWD * AWD+ = 解题模式 + ...

12月17日39 views评论

阅读全文

安全漏洞

万户协同办公平台ezoffice wpsservlet接口存在任意文件上传

漏洞描述 THE WARMTH 万户ezOFFICE协同管理平台涵盖门户自定义平台、信息知识平台管理、系统管理平台功能，它以工作流引擎为底层服务，以通讯沟通平台为交流手段，以门户自定义平台为信息推送显...

12月17日101 views评论

阅读全文

安全漏洞

JumpServer 堡垒机未授权综合漏洞利用

blackjump 介绍 JumpServer 堡垒机综合漏洞利用未授权任意用户密码重置 (CVE-2023-42820) 未授权一键下载所有操作录像 (CVE-2023-42442) 安装 pyt...

12月17日79 views评论

阅读全文

安全工具

几个窃取RDP凭据工具的使用测试

应用场景当我们拿到某台机器时就可以用以下几个工具来窃取管理员使用mstsc.exe远程连接其他机器时所输入的RDP用户密码等信息，其原理是将特定的恶意dll注入到mstsc.exe实现窃取RDP凭据...

12月17日58 views评论

阅读全文

安全漏洞

[漏洞复现]CVE-2023-23743 “I DOC View”远程代码执行

本人非原创漏洞作者，文章仅作为知识分享用一切直接或间接由于本文所造成的后果与本人无关如有侵权，联系删除产品简介 I Doc View在线文档预览系统是一套用于在Web环境中展示和预览各种文档类型...

12月17日158 views评论

阅读全文

安全工具

分享几款大佬写的GUI内网横向工具

前言前段时间很多师傅都在找下边这个工具？作者说了是团队成员不同意，所以没放出来，仅在内部使用。https://github.com/AduraK2/Intranet-Movement-Kit最近圈内有...

12月17日115 views评论

阅读全文

安全漏洞

「漏洞复现」奥威亚视屏云平台VideoCover任意文件上传

漏洞概述漏洞复现 POST /Tools/Video/VideoCover.aspx HTTP/1.1Host: {{Hostname}}User-Agent: Mozilla/5.0 (Macin...

12月17日53 views评论

阅读全文

安全漏洞

Panabit-Panalog sprog_deletevent SQL注入漏洞

Avcon综合管理平台 avcon接口存在SQL注入 00 漏洞概述 Panabit-Panalog sprog_deletevent接口中id参数存在SQL注入漏洞 01 空间搜索语法 fofa a...

12月17日85 views评论

阅读全文

安全闲碎

关于资产动态管理及内外网IP映射的实践心得 | 总第222周

‍‍‍‍ 0x1本周话题话题：在漏洞运营治理方面大家各自有什么实践心得和感触？ A1：漏管的第一公里和最后一公里就是资产管理问题。漏洞管理平台如果能联动SDL平台，可能也是能够提升漏洞管理水平的一种...

12月17日96 views评论

阅读全文

【1day】大华智能物联综合管理平台justForTest用户登录漏洞

PHP流协议的底层实现分析

X微-云桥e-Bridge SQL注入漏洞

WEB安全入门指南

万户协同办公平台ezoffice wpsservlet接口存在任意文件上传

JumpServer 堡垒机未授权综合漏洞利用

几个窃取RDP凭据工具的使用测试

[漏洞复现]CVE-2023-23743 “I DOC View”远程代码执行

分享几款大佬写的GUI内网横向工具

「漏洞复现」奥威亚视屏云平台VideoCover任意文件上传

Panabit-Panalog sprog_deletevent SQL注入漏洞

关于资产动态管理及内外网IP映射的实践心得 | 总第222周

在线咨询

微信