前言在进行年度总结的时候,发现七一重保的时候还进行过一次应急响应,是一起关于非法上传事件的应急响应,在这里进行一下分析总结。处置1、查看基本情况在态势感知上可以看到,文件上传的详细情况,并且已经被攻击...
09月26日3 views评论应急响应
未授权
应急响应之文件上传漏洞排查
09月26日3 views评论应急响应
未授权
09月26日3 views评论应急响应
未授权
Golin-一款新的漏扫工具
主要功能主机存活探测、漏洞扫描、子域名扫描、端口扫描、各类服务数据库爆破、poc扫描、xss扫描、webtitle探测、web指纹识别、web敏感信息泄露、web目录浏览、web文件下载、等保安全风险...
09月21日83 views评论弱口令
漏洞扫描
金盘图书馆微信管理后台未授权访问
简介金盘图书馆微信管理后台可通过利用getsysteminfo未授权访问漏洞,以此获取管理员账号和密码的敏感数据,攻击者以管理员身份进入后台系统窃取敏感信息及危险操作。FOFA语句fofa:title...
09月21日12 views评论未授权访问
计算机信息
实战-edusrc漏洞挖掘-接口未授权访问
本文由掌控安全学院 - blueaurora 投稿 0x01系统初探 通过fofa对大学进行搜索 fofa:host="edu.cn" && status_code="...
08月26日33 views评论未授权访问
页面
各种漏洞批量扫描poc、exp,涵盖未授权、RCE、文件上传、sql注入、信息泄露等
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
08月12日99 views评论rce
sql注入
未授权访问神器推荐:URLFinder
平常刷src时个人常用的工具推荐项目地址:https://github.com/pingc0y/URLFinder平常测api 接口未授权时都会用urlfinder+arjun 刷一遍URL...
08月12日42 views评论fuzz
未授权访问
泛微E-Office 未授权访问
一、fofa查询app="泛微-EOffice"二、漏洞位置http://xx.xx.xx.xx:xx/UserSelect/三、批量检测 python .unAuthPOC.py...
08月05日28 views评论parse
未授权访问
k8s初始入口漏洞汇总
Api server未授权访问k8s的API Server 默认会开启两个端口:8080 和 6443。如果运维人员配置不当,添加了—enable-skip-login选项,8080端口便可未授权访问...
08月01日26 views评论kubernetes
未授权访问
一文了解常见数据库安全攻防
mysql CVE-2012-2122 原理:当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MyS...
07月27日安全文章16 views评论密码
端口
实战 | 从SpringBoot 未授权访问到Getshell
点击蓝字 关注我们免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...
07月07日71 views评论actuator
未授权访问
靶场上新:Nacos未授权访问
本文由掌控安全学院-江月投稿 封神台新上线漏洞复现靶场:nacos未授权访问。 漏洞详情: Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-...
06月26日19 views评论证书
靶场
通过quake分析mongodb被勒索情况
一、mongodb数据被勒索情况介绍黑客利用了Mongodb未授权访问漏洞,批量的对可操作的数据库进行了“删库”操作,并留下自己的联系方式,要挟用户使用比特币支付赎金换回数据。过去3个月中全网存在22...
06月19日56 views评论未授权访问
比特币
