未授权 - 第 7 | CN-SEC 中文网

安全漏洞

用友-NCBeanShell远程命令执行 POC

用友 NC 由于对外开放了 BeanShell 接口，攻击者可以在未授权的情况下直接访问该接口，并构造恶意数据执行任意代码从而获取服务器权限影响版本用友 NC 6.5 版本，漏洞编号：CNVD-2...

12月09日14 views评论

阅读全文

安全漏洞

DedeCMS任意文件读取漏洞 Poc

二、漏洞描述 DedeCMS--任意文件读取，攻击者可利用此漏洞收集敏感信息，从而为下一步攻击做准备。三、Fofa搜索语法 "dedecms" 四、漏洞复现 POC如下 /dede/sy...

12月09日35 views评论

阅读全文

安全工具

DockerApi未授权RCE工具

作为一名网络安全工程师，我们的日常工作几乎都是围绕着各种例行的安全活动，比如hvv、zb和红蓝对抗演练。最近，我们团队正忙于一次针对公司内部 Docker 环境的安全审查。在这个过程中，我发现很多同事...

12月09日42 views评论

阅读全文

安全文章

Kubelet端口未授权深入利用

漏洞描述K8s Node对外开启10250(Kubelet API)和10255端口(readonly API)，默认情况下kubelet监听的10250端口没有进行任何认证鉴权，攻击者可以通过利用该...

12月05日7 views评论

阅读全文

安全漏洞

H3C SecCenter SMP未授权输入验证不当漏洞可导致远程代码执行

漏洞描述:H3C发布安全公告,其中披露了一个输入验证不当漏洞,未经授权的攻击者可以通过该漏洞上传文件获取服务器控制权限。修复建议:正式防护方案:该产品为商业应用,厂商已发布补丁修复漏洞,建议下载相关补...

12月03日64 views评论

阅读全文

安全文章

Nacos2.4.3新版漏洞利用方式总结

ilter分析寻找未授权接口HttpRequestContextFilter 获取请求头信息，AuthFilter 获取uri，token，权限控制ParamCheckerFilter 处理参数，过滤...

11月29日43 views评论

阅读全文

安全文章

Redis未授权主从复制RCE复现

漏洞描述Redis（Remote Dictionary Server )，即远程字典服务，是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供...

11月27日38 views评论

阅读全文

安全漏洞

Nacos未授权下载配置信息【nuclei-POC】

漏洞描述： Nacos未授权下载配置信息。攻击者通过访问特定路径，非法获取配置文件等在内的敏感及关键信息，对系统安全构成重大威胁。 01—Nuclei POC id: Nacos-unauthoriz...

11月26日84 views评论

阅读全文

安全文章

漏洞分析 |Apusic应用服务器未授权目录遍历漏洞分析(附利用方法)

0x01 小介绍通用系统名称：ApusicV9.1 通用中间件系统利用方式：不需要授权简述危害：能够遍历系统文件目录影响版本：ApusicV9.1 前置条件: 6888端口对外开放厂商：深圳市金蝶天...

11月24日12 views评论

阅读全文

安全漏洞

D-Link NAS设备 account_mgr.cgi 未授权RCE漏洞(CVE-2024-10914) Poc

00产品简介D-Link NAS设备是一种基于网络的存储解决方案，作为网络存储设备，旨在为企业提供大容量的存储空间，并通过网络连接实现数据的访问和管理。 01漏洞概述D-Link NAS...

11月23日71 views评论

阅读全文

安全工具

一个挖掘权限类漏洞的神器

2 Action 这是个python语言的burp插件，所以第一件事是添加jython 然后就可以导入插件了，这个插件在burp的BApp Store就可以直接安装，也可以在BApp S...

11月23日13 views评论

阅读全文

安全文章

从信息泄漏到system权限

实战当拿到一个如下站点，一个后台登陆框界面，我们首先会利用弱口令测试一波，但是试了一下之后，发现不行；然后再试了一下万能密码，发现也是不行。心想，这个站也是一个难啃的东西，看样子又...

11月21日25 views评论

阅读全文

用友-NCBeanShell远程命令执行 POC

DedeCMS任意文件读取漏洞 Poc

DockerApi未授权RCE工具

Kubelet端口未授权深入利用

H3C SecCenter SMP未授权输入验证不当漏洞可导致远程代码执行

Nacos2.4.3新版漏洞利用方式总结

Redis未授权主从复制RCE复现

Nacos未授权下载配置信息【nuclei-POC】

漏洞分析 |Apusic应用服务器未授权目录遍历漏洞分析(附利用方法)

D-Link NAS设备 account_mgr.cgi 未授权RCE漏洞(CVE-2024-10914) Poc

一个挖掘权限类漏洞的神器

从信息泄漏到system权限

在线咨询

微信