漏洞分析忙忙忙抽空偶尔发一个 有问题后台公众号找。不接灰色的合作。漏洞说明帆软/webroot/decision/view/ReportServer接口存在SSTI模板注入漏洞,攻击者通过构造特殊 u...
08月09日69 views评论zh
帆软简要的分析
08月09日69 views评论zh
08月09日69 views评论zh
CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越以及RCE漏洞
0x00 简介Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。0x01 漏洞概述2021年10月6日Apache HTTPd官方发布安全更新,披露了CVE-2021-417...
08月06日22 views评论CVE-2021-41773
zh
Pyspider-WebUI未授权访问致远程代码执行漏洞
Pyspider-WebUI未授权访问致远程代码执行漏洞 由于Pyspider WebUI未进行合理的访问控制,默认允许远程攻击者未授权访问webui界面,且系统内部存在python脚本在线编辑并运行...
08月06日安全漏洞30 views评论zh
未授权访问
[漏洞分析]LiveBos文件上传漏洞复现及绕过分析
前言 最近看到了LiveBos的文件上传,发现他的绕过是;.js.jsp看样子像是利用某种解析差异的特性来绕过。但看完代码后发现是有点搞笑的,于是做个记录。 漏洞复现 利用poc如下: POST /f...
08月05日93 views评论js
zh
喰星云-数字化餐饮服务系统not_out_depot.php存在SQL注入漏洞
1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息.2. 漏洞复现GET /...
08月05日61 views评论sql注入漏洞
zh
数字化餐饮服务系统stock.php存在SQL注入漏洞
1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息.2. 漏洞复现GET /...
08月05日8 views评论sql注入漏洞
zh
喰星云-数字化餐饮服务系统not_finish.php存在SQL注入漏洞
1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息.2. 漏洞复现GET /...
08月05日27 views评论sql注入漏洞
zh
天问物业ERP系统ContractDownLoad.aspx任意文件读取
1. 漏洞描述 天问物业ERP系统 AreaAvatarDownLoad.aspx 接口处存在任意文件读取漏洞,未经身份验证的攻击者可以利用此漏洞读取系统内部配置文件,造成信息泄露,导致系统处于极不安...
07月31日12 views评论zh
任意文件读取
CVE-2024-1061漏洞复现
一.概述在WordPress中播放各种视频文件。一个简单,可访问,易于使用和完全可定制的视频播放器,适用于所有设备。您可以在帖子、页面、小部件区域以及模板文件中播放/嵌入精彩的视频播放器。它有大量选项...
07月31日27 views评论漏洞复现
视频
【0day/1day】2024HW情报合集(六)附poc
免责声明 本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均...
07月29日HW&HVV102 views评论os
rce
【0day/1day】2024HW情报合集(四)附poc
一、蓝凌 EKP 远程代码执行漏洞 1、移动目录 GET /ekp/sys/ui/sys_ui_component/sysUiComponent.do?method=replaceExtend&...
07月26日128 views评论ekp
zh
湖南众合百易信息技术有限公司-资产管理运营系统 -任意文件上传
POST /comfileup.php HTTP/1.1 Host: xxx User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; r...
07月26日安全漏洞28 views湖南众合百易信息技术有限公司-资产管理运营系统 -任意文件上传已关闭评论webkit
zh
14