一、漏洞概述漏洞名称 pgAdmin4反序列化代码执行漏洞CVE IDCVE-2024-2044漏洞类型反序列化发现时间2024-03-08漏洞评分9.9漏洞等级高危攻击向量网络所需权限低利用难度...
从0到1 学会究极RCE
究极RCE—by Dreamscape Lynn逸漏洞成因简介RCE为两种漏洞的缩写,分别为Remote Command/Code Execute, 远程命令/代码执行.远程命令执行操作系统命令注入或...
Nginxwebui后台命令执行审计
本文首发先知:https://xz.aliyun.com/t/14227前言半年前,审计过一次这套代码,那时候想着后台有命令执行的功能点,就没关注rce,审计了一些别的水洞。这次hookdd没事,说审...
漏洞复现-D-Link 设备存在后门账号(CVE-2024-3273)
免责声明文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责。如有侵权烦请告知,我会立...
漏洞复现-MajorDoMo thumb.php 未授权RCE(CNVD-2024-02175)
免责声明文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责。如有侵权烦请告知,我会立...
Apache Pinot SQL注入与远程代码执行漏洞分析
引言聊一下Apache Pinot数据库平台的安全漏洞,特别是SQL注入(SQLi)和远程代码执行(RCE)的问题。Apache Pinot是一个实时分布式OLAP数据存储系统,专为提供超低延迟的分析...
ATT&CK - 修改受信的执行环境
修改受信的执行环境 如果攻击者能够提权,他或她可能能够使用这些权限将恶意代码放在设备的可信执行环境(TEE)或其他相似的独立环境,其中代码可以规避检测,在设备重置之后持续存在,并且设备用户可能无法删除...
大语言模型应用程序十大风险
内容摘要《OWASP 大语言模型应用程序十大风险》项目旨在向开发人员、设计人员、架构师、管理人员和组织介绍部署和管理大语言模型(LLM)应用程序时的潜在安全风险。该项目主要基于漏洞的潜在影响,可利用性...
BlueDucky 自动利用蓝牙配对漏洞,导致零点击代码执行
2024 年 1 月,Marc Newlin发布了概念验证脚本,该脚本利用了追踪为 CVE-2023-45866 的 0-click 蓝牙漏洞。该漏洞利用工具名为hi_my_name_is_keybo...
RCE-代码执行+命令执行
RCE产生原理是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,并且为了方便,让应用去调用代码或者系统命令执行函数去处理,同时没有考虑用户是否可以控制这些函数的参数问题,没有做好检测和过滤...
漏洞预警 | pgAdmin4反序列化漏洞
0x00 漏洞编号CVE-2024-20440x01 危险等级高危0x02 漏洞概述pgAdmin是PostgreSQL领先的开源图形化管理工具。pgAdmin4旨在满足新手和有经验的Postgres...
今日更新:disable_function和openbase_dir的突破—CTF训练营之Web篇
今日更新:命令/代码执行(三)disable_function和openbase_dir的突破本周我们将学习另一个命令/代码执行中的常见话题:突破disable_function和openbase_d...