最近,Cyble 研究人员发现了一篇帖子,其中有人提到了 CVE-2022-26809 的概念证明 (PoC)。经过进一步调查,发现它是伪装成 Exploit 的恶意软件。同时还发现了另一个恶意样本,...
实战分享 | 记一次团队合作的情况下还疯狂踩坑的vCenter环境渗透经历
0x01 前言最近在参加某演练,前几天外网打点都没啥收获,很是郁闷。好在学长们非常给力,扫C段的时候发现了一个突破口,我们兴高采烈的冲进去大杀特杀,结果打到一半发现日歪了,属实难受。日歪了的站也要含泪...
实战 | 记一次反射型XSS+设计缺陷修改任意用户密码挖掘过程
最近在挖SRC,记录一下一些有趣的漏洞这个站同样没发现什么大的问题,这也是最近几天第三次挖掘该站了,在网站的各个地方输出都做了转义,一般来说并不会出现XSS,不过今天测试时开了两个浏览器窗口,当我在其...
实战 | 记一次团队合作的情况下还疯狂踩坑的vCenter环境渗透经历
0x01 前言最近在参加某演练,前几天外网打点都没啥收获,很是郁闷。好在学长们非常给力,扫C段的时候发现了一个突破口,我们兴高采烈的冲进去大杀特杀,结果打到一半发现日歪了,属实难受。日歪了的站也要含泪...
可定制的漏洞扫描工具
afrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描工具,PoC 包含 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型,帮助网络安全从业者快...
XXE 漏洞代码及修复代码整理
XML原理XXE:XML External Entity 即XML外部实体注入攻击。是由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体,通过外部实体SYSTEM请求本地文件uri,通过某种...
为什么这个漏洞叫脏牛(Dirty COW)漏洞?
点击蓝字★NEWS★关注我们Dirty COWTableofcontents/// 01 ///Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私...
Node.js命令注入漏洞(CVE-2021-21315-POC)
Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315)攻击者可以通过「systeminformation」中代码注入漏洞的存在意味着攻击者可...
POC-T插件化并发框架
2.0版本经过一段时间的用户反馈,现已相对稳定。目前第一阶段以漏洞验证为核心的需求均已完成。本篇从解决问题的角度介绍这个框架,希望能得到大家的改进建议。项目地址: https://git...
如何基于开源框架打造一款符合自己的专项漏扫平台漫谈
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必...
可定制的漏洞的工具
0x01 afrog介绍一款性能卓越、快速稳定、PoC可定制的漏洞扫描(挖洞)工具,PoC涉及CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型,帮助网络...
红队快速打点工具
作者:tr0uble_mAker,转载于github。POC bomber是一款检测工具,旨在利用大量的POC/EXP快速获取目标服务器权限。本项目收集互联网各种RCE 、任意文件上传、sql注入等高...