点击上方蓝字·关注我们免责声明由于传播、利用本公众号菜狗安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号菜狗安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵...
【0day】Turkey Global全开源9语言交易所审计
0x00 前言 项目编号-10004 漏洞评估:9.8 Turkey Global全开源9语言交易所源码/币币交易/合约交易/秒合约交易/C2C交易/新币认购/理财,后端是fasta...
Day10 DC-6、DC-9靶场WP
关注 泷羽Sec和泷羽Sec-静安公众号,这里会定期更新与 OSCP、渗透测试等相关的最新文章,帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具DC-6靶场文件下载地址:...
龙腾码支付 curl 任意文件读取漏洞 POC
01漏洞概述龙腾码支付 /pay/service/curl 接口处存在任意文件读取漏洞,未经身份验证的攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件...
API漏洞挖掘指北-APISandbox靶场通关.1
APIKitAPISandboxAPISandbox靶场通关安装OWASPApiTop104ASystemAPIKitAPIKit是基于BurpSuite提供的JavaAPI开发的插件。APIKit可...
JS逆向系列20-某鱼sign分析
0x00 前言趁五一结束前再更新一篇文章,我突然意识到我好像很久没发关于逆向的文章了,所以今天就来更一篇针对某鱼的sign分析,难度为简单,初学者可以看一看这篇文章。0x01 正文打开某鱼:打开F12...
立即保护好Clash Verge rev! 远程命令执行漏洞公开!
立即保护好Clash Verge rev! 远程命令执行漏洞公开!免责声明: 本文仅限学习、研究使用!其他用途责任自负背景信息2天之前clash Verge rev 被爆出存在本地提权漏洞,群友们传的...
SSRF 技巧
以下 3 种主要方式在 PHP 中检索 URL:curl libraryfile_get_contents()exec()file:///etc/passwd易受攻击的代码filter_var()FI...
某短视频矩阵营销系统前台RCE漏洞审计
点击上方蓝字关注我们 并设为星标0x00 前言Fofa语句:请见文末搭建完之后长这样. ThinkPHP框架,需要将目录设置为Public.这套系统洞挺多的,大家可以研究学习一下目录结构 控制器全都...
从 HTA 到 MSI:多平台攻击驱动的 APT 组织的新型战术、技术及程序(TTP)与集群特征
Seqrite Labs 的 APT 团队发现,自 2024 年 12 月最后一周起,与巴基斯坦相关的 SideCopy APT 组织采用了新攻击手段,其目标范围从印度政府、国防、海事部门和大学生,进...
巴基斯坦APT组织利用 CurlBack RAT 和 Spark RAT 针对印度目标
导 读一个与巴基斯坦有联系的威胁组织利用各种远程访问木马(如 Xeno RAT、Spark RAT 以及之前未记录的恶意软件家族CurlBack RAT)瞄准印度多个行业。印度网络安全厂商SEQRIT...
RedCurl 网络间谍创建勒索软件来加密 Hyper-V 服务器
一个名为“RedCurl”的攻击者自 2018 年以来一直以秘密的商业间谍活动而闻名,目前正在使用专门针对 Hyper-V 虚拟机的勒索软件加密器。此前,Group-IB 发现 RedCurl 以全球...