未授权 - 第 6 | CN-SEC 中文网

安全文章

蓝凌OA未授权分析

漏洞描述蓝凌OA未授权导致RCE。漏洞分析首先根据POC中地址定位文件‍定位JSP文件，根据URL以及路径+参数等综合定位，得到其对应的JSP文件这里获取 s_bean 参数，然后循环，调用 getB...

01月02日16 views评论

阅读全文

安全文章

泛微OA 管理员任意登录分析

漏洞描述攻击者可利用接口获取管理员Session进而达到管理员任意登录目的。漏洞分析首先看POC根据路径定位文件总而言之就类似未授权API访问导致。结语啊这？原创字数要300？懒得打字啊！！！原文始发...

01月02日8 views评论

阅读全文

安全文章

SRC实战之真的没有权限吗？too young too simp

点击上方[蓝字]，关注我们免责声明本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号团队不为此承担任何责任。文章正文起挖企业SR...

01月02日3 views评论

阅读全文

安全漏洞

某凌OA fsscCommonPortle 未授权SQL注入漏洞

某凌生态OA基于21年数字化办公经验，以微服务基座和低代码平台为核心，实现多云多端、全程在线、生态协同。该系统涵盖生态化、数字化、平台化、智能化四大特性，支持生态组织、生态协同，如生态化采购、客户、招...

12月30日44 views评论

阅读全文

安全工具

【SRC】-实战中常用工具整理（一）

在网络安全领域，一句古语“工欲善其事，必先利其器”被赋予了新的含义：要想在漏洞挖掘工作中事半功倍，我们须用些适合自己的工具。工具一：360QUAKE地址：https://quake.36...

12月24日24 views评论

阅读全文

安全文章

记一次简单渗透到GETshell

首先声明：此站点漏洞已提交，未经授权的渗透都是违法行为！首先声明：此站点漏洞已提交，所有未授权渗透都是违法行为！OK，那我们开始吧通过谷歌语法搜索inurl:admin/login.php 公司，本来...

12月20日7 views评论

阅读全文

安全文章

Tiger 未授权检测

作为技术人员，我发现不断提升安全防护能力是我们日常工作的重中之重。在这个过程中，有些工具真的是让我感到大大受益，今天想跟大家聊聊我最近使用的一个开源工具——Tiger。很多时候我们得手动去检测每个服务...

12月20日12 views评论

阅读全文

安全文章

DedeCMS 未授权RCE漏洞原理及影响面分析

2021年9月30日，老外曝光了关于国产知名框架DedeCMS的远程未授权RCE漏洞，江湖救急快速完成了跟踪分析。过节的被老板叫回来分析漏洞（没有加班费😂），作为一名IT民工真不容易！吐槽归吐槽，活...

12月17日9 views评论

阅读全文

安全文章

组合拳从0-1 Getshell过程

组合拳从0-1 Getshell过程前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。还在学怎么挖通用漏洞和src吗？快来加入...

12月17日6 views评论

阅读全文

安全文章

集群安全之Kubelet端口未授权深入利用

漏洞描述K8s Node对外开启10250(Kubelet API)和10255端口(readonly API)，默认情况下kubelet监听的10250端口没有进行任何认证鉴权，攻击者可以通过利用该...

12月16日16 views评论

阅读全文

安全文章

渗透实战|组合拳从0-1 Getshell过程

unsetunset前言unsetunset 在一次渗透项目中遇到的一个比较典型的案例，通过sql注入、未授权、任意文件上传组合拳最终getshell，过程也比较有意思，因此记录了下来。在写该文章时，...

12月11日9 views评论

阅读全文

安全文章

组合拳从0-1 Getshell过程

前言在一次渗透项目中遇到的一个比较典型的案例，通过sql注入、未授权、任意文件上传组合拳最终getshell，过程也比较有意思，因此记录了下来。在写该文章时，所有漏洞均已提交归属单位并...

12月10日11 views评论

阅读全文

蓝凌OA未授权分析

泛微OA 管理员任意登录分析

SRC实战之真的没有权限吗？too young too simp

某凌OA fsscCommonPortle 未授权SQL注入漏洞

【SRC】-实战中常用工具整理（一）

记一次简单渗透到GETshell

Tiger 未授权检测

DedeCMS 未授权RCE漏洞原理及影响面分析

组合拳从0-1 Getshell过程

集群安全之Kubelet端口未授权深入利用

渗透实战|组合拳从0-1 Getshell过程

组合拳从0-1 Getshell过程

在线咨询

微信