高权限 - 第 2 | CN-SEC 中文网

安全文章

一次绕过Burp检测的水洞记录

前言项目是很早之前帮朋友测的，只有四个系统，没有给账号，纯黑盒测试，要求也不高，有产出就行，其他三个系统没有任何发现，最后一个系统有bp代理检测，这里分享一下挖洞过程测试记录开启代理后，直接505，换...

10月21日15 views评论

阅读全文

安全漏洞

CVE-2023-3450 RCE漏洞(附EXP)

网安引领时代，弥天点亮未来 0x00写在前面本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！0x01漏洞介绍Ruijie Networks RG-BCR860是中国锐捷网络（...

10月16日38 views评论

阅读全文

安全新闻

建筑公司会计软件的高权限用户遭受暴力破解攻击

黑客正在暴力破解基金会会计服务器上高权限账户的密码，这些账户广泛用于建筑行业，从而侵入企业网络。这一恶意活动最先被 Huntress 发现，其研究人员于 2024 年 9 月 14 日检测到了此次攻击...

10月13日28 views评论

阅读全文

安全文章

《云原生安全攻防》 K8s攻击案例：从Pod容器逃逸到K8s权限提升

在本节课程中，我们将介绍一个完整K8s攻击链路的案例，其中包括了从web入侵到容器逃逸，再到K8s权限提升的过程。通过以攻击者的视角，可以更全面地了解K8s环境中常见的攻击技术。在这个课程中，我们将学...

10月08日54 views评论

阅读全文

云安全

《云原生安全攻防》 K8s攻击案例：高权限Service Account接管集群

在本节课程中，我们将学习一个K8s攻击案例，高权限Service Account接管集群。如果攻击者获取到有效的凭证，就有可能通过凭证来接管整个K8s集群。在这个课程中，我们将学习以下内容：K8s的认...

09月26日19 views评论

阅读全文

安全漏洞

Zabbix Macro注入(CVE-2024-22116)

注：仅漏洞复现，感觉该洞略显鸡肋(需要借助主机监控模块下功能触发，故需要相对较高权限用户【创建host或修改已有host】)，也可能是我复现姿势不对。漏洞复现原文始发于微信公众号（安全之道）：Zabb...

08月14日296 views评论

阅读全文

安全文章

记一次某中学系统越权漏洞

本文由掌控安全学院 - kpc 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）一、确定测试站点资产的收集依旧是按照弱口令与注册进站的思路进...

08月09日28 views评论

阅读全文

安全文章

记一次某中学系统越权漏洞

本文由掌控安全学院 - kpc 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）一、确定测试站点资产的收集依旧是按照弱口令与注册进站的思路进行寻...

08月05日42 views评论

阅读全文

安全新闻

影响 Linux 内核的 UAF 零日漏洞正在暗网被出售

最近，一个安全警报震动了信息安全行业：一个恶意行为者在著名的暗网论坛 BreachForum 上宣布出售影响 Linux 内核的（UAF）零日漏洞。该漏洞允许低权限用户执行高权限代码，对受影响系统构成...

06月29日13 views评论

阅读全文

安全文章

看我如何社g搞定学姐继而接管站点全部权限，严重漏洞横空出世

故事纯属虚构！！情节皆是编造！！如有类似纯属巧合！！在这里我向各位师傅们解释一下，因为发出的是实战文章，其中可能会涉及到一部分还未修复的漏洞，并且会涉及到大量的个人隐私信息，所以能发出...

05月12日12 views评论

阅读全文

安全文章

PTT票据传递攻击

黄金票据(GoldenTicket)攻击在Kerberos认证过程的AS-REP阶段，在经过预认证后，KDC的AS认证服务返回的TGT认购权证中加密部分authorization-data是使用krb...

04月24日13 views评论

阅读全文

安全百科

Cookie中的HttpOnly，Secure和SameSite属性

首先了解一下cookie：cookie是服务器用来辨认用户身份，存在用户本地的数据。对于是否可以访问某页面做出一个验证。因此就引发了一个问题，攻击者利用漏洞（xss)获取到高权限用户cookie，然后...

04月23日18 views评论

阅读全文

在线咨询

微信