什么是命令注入漏洞?命令注入漏洞如何让攻击者接管机器,以及如何防止这些漏洞。命令注入漏洞可能是应用程序中可能发生的最危险的漏洞之一。当应用程序允许用户输入与系统命令混淆时,就会发生命令注入漏洞或操作系...
记录一次RCE无回显突破内网隔离
在攻防演练的时候常常遇到无回显的情况,怎么办呢?你还在用DNSLog外带内容?还是在用文件写入Web访问读取?在某次攻防演练我遇到了一个无回显的漏洞,DNSLog外带也不是很好用啊,无奈只能自己研究了...
【网络攻击分析】日志流量分析取证
日志流量分析取证❝由于传播、利用本公众号所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并且...
CVE-2019-13288复现笔记及其国产化pdf生成挖掘
CVE-2019-13288复现简述在 Xpdf 4.01.01 中 Parser.cc 中的 Parser::getObj() 函数可能会通过精心设计的文件导致无限递归 远程攻击者可以利用它进行 D...
Wget服务器端请求伪造漏洞
0x00 漏洞编号CVE-2024-105240x01 危险等级高危0x02 漏洞概述GNU Wget是一个广泛使用的开源命令行工具,主要用于从网络上下载文件。0x03 漏洞详情CVE-2024-10...
黑客视角下的Windows系统10种命令行文件传输姿势
part1点击上方蓝字关注我们往期推荐MySQL渗透实战恶意软件的一段代码可以解密Google浏览器的Cookie加密算法比netcat更高级的网络渗透基础工具黑客渗透超级管理终端一款超乎想象的Win...
Wget服务器端请求伪造漏洞安全风险通告
漏洞背景近日,嘉诚安全监测到Wget中存在一个解析不当导致的服务器端请求伪造漏洞,漏洞编号为:CVE-2024-10524。GNU Wget是一个广泛使用的开源命令行工具,主要用于从网络上下载文件。它...
Wget服务器端请求伪造漏洞(CVE-2024-10524)
漏洞描述:GNU Wget是一个广泛使用的开源命令行工具,主要用于从网络上下载文件,它由GNU项目开发,支持 HTTP、HTTPS和FTP协议,因此可以用于从各种类型的网络服务器获取文件,Wget中存...
wget 存在SSRF 0day漏洞 CVE-2024-10524
流行的 Wget 下载实用程序中新发现的一个漏洞可能允许攻击者发起服务器端请求伪造 (SSRF) 攻击。JFrog 的安全研究员 Goni Golan发现了Wget 中的一个漏洞,Wget 是一个广泛...
Wget服务器端请求伪造漏洞(CVE-2024-10524)
一、漏洞概述漏洞名称 Wget服务器端请求伪造漏洞CVE IDCVE-2024-10524漏洞类型解析不当发现时间2024-11-20漏洞评分6.5漏洞等级中危攻击向量网络所需权限无利用难度高...
多个僵尸网络正利用Raisecom MSG1200 命令执行漏洞(CVE-2024-7120)传播
近期,360安全大脑监测发现多个僵尸网络正利用Raisecom MSG1200 命令注入漏洞(CVE-2024-7120)发起攻击。进一步分析发现,45.202.32.0/22下更是托管了5个僵尸网络...
Linux提权的一些方法
复习之前的文章,关于配置导致Linux提权的有:suid、sudo、nfs、path、ld_preload、cron、docker、lxd、capability以及rbash绕过。可以参考菜单中的Li...