html - 第 9 | CN-SEC 中文网

安全文章

记一次渗透实战ueditor编辑器上传getshell

首先通过弱口令进入后台，在后台发现使用了ueditor编辑器，查看版本发现可能存在漏洞，通过访问指定的URL判断出存在漏洞。然后通过构造恶意的HTML表单，上传图片马，最后直接getshell。一、弱...

06月02日2,180 views评论

阅读全文

安全新闻

警惕！这个微软Office 0day 已遭在野利用

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士安全研究员发现，微软Office 新0day 已遭在野利用。仅需打开一份Word文档，攻击者即可利用该漏洞通过Microsoft 诊断工具...

06月02日102 views评论

阅读全文

安全新闻

关于CVE-2022-30190，msdt漏洞

https://github.com/chvancooten/follina.pyhttps://github.com/JMousqueton/PoC-CVE-2022-30190这个漏洞的本质是wo...

06月02日125 views评论

阅读全文

安全文章

WEB安全梳理-文件下载

"晚上睡不着，打电话给我，我是一个负责人的男人"导读以前做的一个简...

06月01日37 views评论

阅读全文

安全文章

office-rce（cve-2021-40444msdt变种）

前言:不出所料，cve-2021-40444又被绕过了。这个漏洞的本质是office的默认浏览器用了IE，IE通过JS启动ACTIVEX，加载MSDT，SWF之类奇怪的东西，甚至第三方的team vi...

06月01日73 views评论

阅读全文

安全文章

BurpSuite如何利用CSRF漏洞获取权限

假如已经拿到了一个网站后台，但是没有管理员的权限，可以利用此方法试一下。一、进入网站后台，填写好要增加管理员的信息二、打开BurpSuite，开启抓包，点击保存，找到我们提交的POST数据包三、右击该...

05月31日289 views评论

阅读全文

安全文章

Sucuri WAF Bypass

POC：data:text/html,<form action=https://xxx.com.br/xss-waf.php method=post><input type=hidd...

05月31日80 views评论

阅读全文

安全文章

老洞复现 | FCKeditor V2.4.3 php版文件上传

0x00 前言小黑之前写了个upload-labs靶场系列，其中第一篇《上传靶场upload-labs搭建及使用》提到刷完原版后会继续刷国光版和开普勒版。现在这两个版本我也看过了，国光版除去页面ui和...

05月30日1,050 views评论

阅读全文

安全文章

搜狐中招钓鱼邮件诈骗攻击手法分析

钓鱼站地址:http://0f4bd697425ee8bcaf37294f551ec465.gerwg.xyz/html/public/material.htmlhttp://fdgd.fun/第一步...

05月26日192 views评论

阅读全文

安全工具

可定制的漏洞扫描工具

afrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描工具，PoC 包含 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型，帮助网络安全从业者快...

05月24日95 views评论

阅读全文

安全工具

可定制的漏洞的工具

0x01 afrog介绍一款性能卓越、快速稳定、PoC可定制的漏洞扫描（挖洞）工具，PoC涉及CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型，帮助网络...

05月23日76 views评论

阅读全文

安全文章

src挖掘 | fofa联动xray批量刷src

1、利用fofa API收集目标需要安装python2# -*- coding: utf-8 -*-import timeimport urllib2import fofaimport js...

05月23日313 views评论

阅读全文

记一次渗透实战ueditor编辑器上传getshell

警惕！这个微软Office 0day 已遭在野利用

关于CVE-2022-30190，msdt漏洞

WEB安全梳理-文件下载

office-rce（cve-2021-40444msdt变种）

BurpSuite如何利用CSRF漏洞获取权限

Sucuri WAF Bypass

老洞复现 | FCKeditor V2.4.3 php版文件上传

搜狐中招钓鱼邮件诈骗攻击手法分析

可定制的漏洞扫描工具

可定制的漏洞的工具

src挖掘 | fofa联动xray批量刷src

在线咨询

微信