未授权 | CN-SEC 中文网

安全工具

工具分享 | JumpServer堡垒机未授权综合漏洞利用脚本：blackjump

简介一款JumpServer 堡垒机未授权综合漏洞利用脚本，支持漏洞CVE-2023-42442 / CVE-2023-42820 / RCE 2021，实测能运行，但密码重置和命令执行漏洞利用时会...

06月25日14 views评论

阅读全文

安全新闻

Microsoft Defender for Identity 漏洞可致未授权权限提升

更多全球网络安全资讯尽在邑安全NetSPI 研究人员详细披露了 Microsoft Defender for Identity（MDI）中的欺骗漏洞（CVE-2025-26685）。该漏洞虽无法单独利...

06月25日12 views评论

阅读全文

安全文章

【技术分享】MQTT未授权访问漏洞利用方式

2025/06/24 星期二多云·北风2级 //01 前言最近刷微信公众号刷到一师傅写的MQTT未授权漏洞相关的文章，以前都没注意过这个漏洞，也不知道怎么利用。正好最近在做某项目相关互联网业务渗透...

06月25日12 views评论

阅读全文

安全漏洞

泛微e-cology 未授权SQL注入漏洞

“ 对我们感兴趣的话就点个关注吧！”免责声明：本文仅供安全研究与学习之用，严禁用于非法用途，违者后果自负。漏洞介绍泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程...

06月23日55 views评论

阅读全文

安全漏洞

泛微e-cology 未授权SQL注入漏洞 POC

免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章...

06月20日79 views评论

阅读全文

安全工具

DockerApi未授权利用工具使用感受以及开发手记(2375端口)

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！在最近攻防打内网的时候，遇到一些docker未授权访问漏洞。需要截图统计数量和执行命令证明获取相关权限。为了方便截图使用，当时需要在客户电脑上...

06月16日21 views评论

阅读全文

安全漏洞

【高危漏洞预警】GeoServer未授权服务器端请求伪造(SSRF)漏洞

漏洞描述:GeoServer存在服务器端请求伪造漏洞,若未设置代理基础URL,未经身份验证的用户可通过Demo请求端点发起服务器会执行的请求,此漏洞可用于枚举内部网络,在云实例场景下还能获取敏感数据,...

06月14日24 views评论

阅读全文

安全文章

Rsync未授权漏洞复现

一.Rsync简介:　　Rsync是一款远程同步功能的软件，同步的同时可以保持源文件的权限、时间、软硬连接等，常被用于文件的同步、分发等。支持通过rsync协议、ssh协议进行远程文件传输。其中rsy...

06月13日23 views评论

阅读全文

安全文章

渗透测试JS接口Fuzz场景研究

渗透测试中当页面功能点过少无处可测,或者攻防、SRC场景下开局一个登录框尝试弱口令,爆破、注入无果后针对JS接口寻找未授权信息泄露成为了得分关键前端Webpack接口Vue框架并且使用Webpack打...

06月13日14 views评论

阅读全文

安全文章

【渗透测试】未授权从接口FUZZ到后台getshell

扫码加圈子获内部资料网络安全领域各种资源，EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。加内部圈...

06月13日27 views评论

阅读全文

安全文章

【渗透测试】未授权从接口FUZZ到后台getshell

文章作者：hkhigh 文章来源：https://www.freebuf.com/articles/web/431902.html 从未授权访问到进一步的实践一、前置背景对公司一个看...

06月13日17 views评论

阅读全文

安全文章

Redis未授权漏洞复现汇总

原文链接:https://www.freebuf.com/articles/web/433079.htmlRedis介绍Redis是现在最受欢迎的NoSQL数据库之一，Redis是一个使用ANSI C...

06月11日16 views评论

阅读全文

在线咨询

微信