漏洞分析

合天网安实验室2 个月前
chatgpt·漏洞分析·漏洞利用
ChatGPT-Next-Web漏洞利用分析(CVE-2023-49785)日常网上冲浪,突然粗看以为是有关Chat-GPT的CVE披露出来了,但是仔细一看原来是ChatGPT-Next-Web的漏洞。漏洞描述大致如下:(如果有自己搭建了还没更新的速速修复升级防止被人利用,2.11.3已经出来了)
儒道易行6 个月前
数据库·web安全·渗透测试·漏洞分析·代码审计·红队攻防
SQL Server注入之攻防技战法语句只适合>=2005爆当前数据库名:爆其他数据库名:再爆其他数据库:爆MSSQL的默认数据库爆数据库所有表(只限于mssql2005及以上版本)
儒道易行6 个月前
web安全·渗透测试·漏洞分析·代码审计·红队攻防
红队攻防实战之DC2使用nmap工具可以发现开放了80端口,网页服务器但是可以看出做了域名解析,所以需要在本地完成本地域名解析。
st3pby7 个月前
渗透测试·漏洞分析·java安全
fastjson1.2.24 反序列化漏洞(CVE-2017-18349)分析FastJson在<= 1.2.24 版本中存在反序列化漏洞,主要原因FastJson支持的两个特性:
Gobysec8 个月前
web安全·网络安全·漏洞分析·cve·技术分享
漏洞分析 | 漏洞调试的捷径:精简代码加速分析与利用近期,Microsoft威胁情报团队曝光了DEV-0950(Lace Tempest)组织利用SysAid的事件。随后,SysAid安全团队迅速启动了应急响应,以应对该组织的攻击手法。然而,在对漏洞的分析和复现过程中,并未提供详细说明。由于该产品在安装时需要许可证,增加了动态调试漏洞的难度。为了便于调试能够快速复现该漏洞,我们尝试通过只使用部分的单元代码来模拟漏洞的主要逻辑流程进行动态调试分析。最终,我们成功利用 Goby 工具完美地实现了该漏洞的利用。
儒道易行9 个月前
数据库·sql·web安全·渗透测试·漏洞分析
H3C IMC dynamiccontent.properties.xhtm 远程命令执行我举手向苍穹,并非一定要摘星取月,我只是需要这个向上的、永不臣服的姿态。构造payload:漏洞证明: 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
儒道易行9 个月前
数据库·sql·web安全·渗透测试·漏洞分析
CVE-2019-0708漏洞实战使用命令:search 0708搜索exp脚本 搜索网段中主机漏洞use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
儒道易行9 个月前
web安全·渗透测试·漏洞分析·代码审计·红队攻防
MS17010(永恒之蓝)漏洞实战曾因苦难多壮志,不教红尘惑坚心。使用搜索命令,搜索ms17_010search ms17_010搜索网段中主机漏洞 use auxiliary/scanner/smb/smb_ms17_010 照例,show options 看一下配置
Flying ladybird9 个月前
apache·web·漏洞·漏洞分析·cve·命令注入·apache airflow
CVE-2020-11978 Apache Airflow 命令注入漏洞分析与利用升级到 1.10.10 版本之后删除或者禁用 DAG,可自行删除或在配置文件中禁用默认 DAGload_examples=False
儒道易行1 年前
web安全·渗透测试·漏洞分析·代码审计·红队攻防
蓝海卓越计费管理系统远程命令执行活着,就要时刻准备承受磨难!蓝海卓越计费管理系统存在命令调试页面,导致攻击者可以远程命令执行
儒道易行1 年前
web安全·渗透测试·漏洞分析·代码审计·红队攻防
云服务器AccessKey执行命令人之所以痛苦,在于追求错误的东西。如果你不给自己烦恼,别人也永远不可能给你烦恼。因为你自己的内心,你放不下。 好好的管教你自己,不要管别人。