命令注入 - 第 4 | CN-SEC 中文网

安全新闻

新一轮 Mirai 僵尸网络又来了目标Avtech摄像头 CVE-2024-7029 附EXP

自2020年起，Mirai僵尸网络开始泛滥，其主要目标为光猫、摄像头设备，通过利用nday 0day以及爆破弱口令后RCE等方式进行病毒式复制传播。2020年全网受威胁暴露资产约有 38万个。攻击者在...

09月22日86 views评论

阅读全文

HW&HVV

Hvv - node.js 漏扫

在我们的日常工作中，很多时候我们需要对内部系统进行渗透测试。通常，这个过程会耗费大量的时间来查找每一种可能的漏洞。在上周的一次安全演练里，我用某个Node.js工具检测了我们的一个应用。在短短几十分钟...

08月18日45 views评论

阅读全文

命令注入总结

直接执行代码PHP 中有不少可以直接执行代码的函数。eval();assert();system();exec();shell_exec();passthru();escapeshellcmd();p...

08月18日安全博客14 views评论

阅读全文

安全百科

「典型安全漏洞系列」OS命令注入详解

“ 引言：什么是操作系统命令注入，如何防御和利用此类漏洞？ 1. 简介操作系统命令注入（OS command injection）是一种Web安全漏洞，允许攻击者在运行应用程序的服务器上执行任意操作...

08月07日49 views评论

阅读全文

安全博客

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析漏洞简介 OpenWrt LuCI是一款用于OpenWrt（Linux发行版）的图形化配置界面。 OpenWrt LuC...

08月06日62 views评论

阅读全文

安全文章

注入 Java 内存有效载荷以进行后期利用

早在三月份，我们就描述了在 Java 应用程序上利用任意反序列化时可以使用的技巧。在接下来的红队行动中，我们遇到了受其他类型漏洞影响的 Java 应用程序，这些漏洞会导致代码执行。本文将尝试介绍一些用...

07月25日17 views评论

阅读全文

安全漏洞

漏洞预警：Nacos 0day漏洞触发远程代码执行

Nacos即Dynamic Naming and Configuration Service（动态命名与配置服务），是开源的一款服务发现、配置和管理微服务的中间件。在Nacos中新发现的0day漏洞可...

07月19日47 views评论

阅读全文

安全漏洞

FOG Project 文件名命令注入漏洞复现（CVE-2024-39914）

0x02 产品介绍 FOG是一个开源的计算机镜像解决方案，旨在帮助管理员轻松地部署、维护和克隆大量计算机。FOG Project 提供了一套功能强大的工具，使用户能够快速部署操作系统、软件和配置设置到...

07月19日212 views评论

阅读全文

安全新闻

OpenSSH 9.6 版本疑似存在0day漏洞

一名黑客出售针对OpenSSH 9.6 版的漏洞，该漏洞允许命令注入和远程代码执行 (RCE)。卖家声称该漏洞已经过测试并确认有效，对运行受影响版本的系统构成重大风险。漏洞详细信息：类型：命令注入（R...

07月17日14 views评论

阅读全文

通过命令注入来实现的RCE

正常情况下在没有遭受攻击的正常情况下，该网站的“/system/images”URL用于接收Base-64编码的字符串，这个字符串指向服务器上的某个图片文件，并且可能包含一些ImageMagick的c...

07月15日安全文章21 views评论

阅读全文

安全新闻

网安原创文章推荐【2024/7/14】

2024-07-14 微信公众号精选安全技术文章总览洞见网安 2024-07-14 0x1 通过命令注入来实现的RCE 迪哥讲事 2024-07-14 20:50:54 本文详细介绍了通过命令注入实...

07月15日8 views评论

阅读全文

代码审计

代码审计系列之java命令注入科普

写在前面这里只讨论使用java执行命令的情况(Runtime/ProcessBuilder),结合之前挖过过的一些case或者群里见到过的case来讲。名词科普命令解释器shell：是一种软件程序(可...

07月14日80 views评论

阅读全文

在线咨询

微信