权限 - 第 4 | CN-SEC 中文网

安全文章

滥用DHCP管理员组在Windows域中升级权限

执行摘要Akamai 研究人员发现了一种新的权限升级技术，该技术会影响利用 DHCP 管理员组的 Active Directory (AD) 环境。如果 DHCP 服务器角色安装在域控制器 (DC) ...

03月24日31 views评论

阅读全文

安全文章

【权限维持技术】Linux 添加Root权限用户

Linux 用户在 Linux 中，用户是用于访问操作系统的身份。每个用户都关联着特定的权限，用以控制对系统资源的访问。Linux用户又分为以下两类：普通用户：普通用户拥有对自己home目录的控制...

03月16日44 views评论

阅读全文

安全新闻

WordPress插件存在严重漏洞，500万网站面临安全风险

WordPress 的 LiteSpeed Cache 插件被公布存在严重安全漏洞，该漏洞可能使未经身份验证的用户能够升级其权限。该漏洞编号为CVE-2023-40000，已于 2023 年 10 月...

03月05日35 views评论

阅读全文

安全文章

Tomcat 8.0后台弱口令登录及Webshell获取

1.1漏洞测试环境及搭建 1.漏洞环境版本 Tomcat版本：8.0 2.环境搭建（1）漏洞目录 /opt/vulhub/tomcat/tomcat8 （2）docker-compos...

03月04日82 views评论

阅读全文

安全文章

SRC邀请处逻辑越权到组织管理员漏洞

1.在挖掘某src漏洞时候信息收集的时候收集到某小程序该小程序的主要功能是帮助购买此服务的公司管理项目和销售员工的这里我们准备两个测试账号(A和B) 2.我们登录进去该小程序，按照正常步骤流程注册...

03月03日26 views评论

阅读全文

代码审计

记一次实战中的代码审计

漏洞挖掘开局登陆框并且验证码还有效，通过验证码识别在进行爆破效率低，爆破账号密码这条路就先放着最后。在网页源代码找到一段注释的代码。通过给的链接查看发现这个代码几年都没有更新了，八九不离十都存在漏...

02月25日38 views评论

阅读全文

安全文章

基于WXT开发chrome插件教程（二）：流量的抓取

增加权限要实现抓取网站的请求链接，需要考虑使用到chrome.webRequestAPI，具体可参见：[[https://developer.chrome.com/docs/extensions/re...

02月22日224 views评论

阅读全文

安全文章

记一次实战从0到1漏洞挖掘

02月22日24 views评论

阅读全文

安全文章

记录一次完整的教育站点渗透过程

*该漏洞已上报相应学校管理员。目录前言漏洞发现漏洞验证漏洞利用 Get webshell提权Hash读取尾言前言今天又是风和日丽的一天，莫名其妙搞到学校会计系的一个文档，好奇心促使我点开...

02月20日42 views评论

阅读全文

安全文章

宝塔 WAF 最新版 RCE 0Day 漏洞，可直接获取 root 权限 - FreeBuf网络安全行业门户

最近开源社区好像特别流行 WAF，到处都能看到宝塔云 WAF、雷池 WAF 社区版、南墙 WAF 的各种宣传。我也是宝塔面板的四五年的老用户了，几个月前看到宝塔出了独立的 WAF 就迅速给我的小站上了...

02月17日89 views已关闭评论

阅读全文

CVE-2024-24747｜MinIO权限提升漏洞

0x00 前言MinIO 是一种高性能、Amason的S3分布式对象存储。专为大规模AI/ML、数据和数据库工作负载而构建，并且它是由软件定义的存储。Minio 可以做为云存储的解决方案用来保存海量的...

02月04日安全漏洞179 views评论

阅读全文

安全文章

WEB漏洞逻辑越权之支付数据篡改安全

水平越权概述：攻击者尝试访问与他拥有相同权限的用户的资源测试方法：能否通过A用户操作影响到B用户案例：pikachu-本地水平垂直越权演示-漏洞成因 1）可以看到kobe很多的敏感信息 2）bu...

02月01日47 views评论

阅读全文