文章列表

投稿文章:WebLogic任意文件上传漏洞(CVE-2019-2618)复现
渗透测试 回复8次

投稿文章:WebLogic任意文件上传漏洞(CVE-2019-2618)复现

WebLogic组件介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的

2019-4-23 23:23 8 4119
搜Wi-Fi热点 Android 应用数据泄露:涉200多万WiFi密码
安全资讯 回复6次

搜Wi-Fi热点 Android 应用数据泄露:涉200多万WiFi密码

一款流行的Android热点(WiFi)搜寻App“WiFi Finder”暴露了200多万个网络的WiFi密码。目前已有数千人下载了这款WiFi Finder应用,它允许用户搜索附近的WiFi网络。但同时,这款应用也允许用户将WiFi密码从自己的设备上传到数据库,供其他人使用。这个包含了200多万个网络密码的数据库并未受到任何保护

2019-4-23 08:35 6 2949
Oracle WebLogic 曝 0day 漏洞,攻击者可远程执行命令
安全资讯 回复21次

Oracle WebLogic 曝 0day 漏洞,攻击者可远程执行命令

2019年04月17日,国家信息安全漏洞共享平台(CNVD)官方发布安全公告称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞,攻击者可利用该漏洞在未授权的情况下远程执行命令。随后知道创宇404实验室启动应急流程,通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wl

2019-4-23 08:32 21 11913
b站后台代码泄露始末二次更新以及回应
安全资讯 回复51次

b站后台代码泄露始末二次更新以及回应

本新人在此声明:从未clone,下载或者以任何途径获得bilibili公司的任何非正常途径公开的代码。也没有参与,传播,任何bilibili的负面信息。今天,github上,毫无征兆的公布了,b后台的源代码,据悉,可能是因为某个程序员不会用git,导致意外发布的。所以都有什么看法呢?这个泄露,完全是真的,因为某

2019-4-22 18:49 51 14996
jQuery 的“原型污染”安全漏洞
安全资讯 回复3次

jQuery 的“原型污染”安全漏洞

什么是原型污染?顾名思义,原型污染就是指攻击者通过某种手段修改 JavaScript 对象的 prototype。JavaScript 对象就跟变量一样,但它不是存储一个值(var car =“Fiat”),而是可以包含基于预定义结构的多个值 (var car ={type:"Fiat", model:"500", color:"white"})。prototype 定义了 JavaScript

2019-4-22 17:34 3 2212
投稿文章:利用suid进行提权
渗透测试 回复2次

投稿文章:利用suid进行提权

首先创建一个普通用户test,是一个普通用户的权限(即最低权限的用户),并利用su切换进test用户,利用id可以查看权限: 利用suid进行提权的话,需要先找到设置了suid的可执行文件,find /usr/bin –perm –u=s这样通过find命令,搜索/usr/bin目录下,通过参数perm –us=s就可以搜索到/usr/bin目录下所

2019-4-22 15:16 2 6755
NCSC发布最常被黑客入侵的密码列表 你的是否也在其中?
安全资讯 回复11次

NCSC发布最常被黑客入侵的密码列表 你的是否也在其中?

英国国家网络安全中心(NCSC)发布了一份列表,列出了数据泄露中出现的 100000 个最常见的密码,以鼓励用户选择强密码。到目前为止,数据泄露中显示的最常用密码是 “123456”,有 2320 万个帐户使用此密码。另外,全世界有 770 万用户选择使用 “123456789” 作为密码。紧接着排名靠前的三个密码均被

2019-4-22 09:54 11 4196
蚁剑流量分析到改装蚁剑之waf 绕过
渗透测试 回复15次

蚁剑流量分析到改装蚁剑之waf 绕过

1. 蚁剑流量分析1. 环境如下靶机 windows 2008 R2 攻击机器 win10 蚁剑2.0.4 1. 木马如下:<?php eval($_POST) ?>蚁剑编辑器有如下几种还有一种传递方式加上这个mulipart 发包之后。数据包会像如下这样multipart/form-dataPOST http://www.example.com HTTP/1.1Content-Type:multipart/form-data; bo

2019-4-21 13:50 15 14050
car2go汽车共享App遭黑客入侵 100多辆豪华汽车被窃
安全资讯 回复10次

car2go汽车共享App遭黑客入侵 100多辆豪华汽车被窃

据TheDrive网站报道,黑客近日入侵car2go汽车共享应用APP,并在芝加哥窃取了100多辆高端豪华汽车。car2go汽车共享App遭黑客入侵 100多辆豪华汽车被窃  哥伦比亚广播公司驻芝加哥记者布拉德·爱德华兹(Brad Edwards)在推特上援引知情人士的话报道了上述消息。爱德华兹表示,car2go遭到“黑客攻击”

2019-4-20 16:14 10 3106
Windows零日漏洞CVE-2019-0859细节披露 (已在野利用)
安全资讯 回复21次

Windows零日漏洞CVE-2019-0859细节披露 (已在野利用)

上周微软发布2019年4月安全更新中,卡巴斯基发现了其中一个 Windows 0day 漏洞 CVE-2019-0859。目前卡巴斯基实验室已公开该漏洞详情。已遭利用的 0day博客文章指出,卡巴斯基实验室在检测到试图利用 Windows 中的某个漏洞时,在分析过程中从 win32k.sys中发现了一个 0day 漏洞 CVE-2019-0859。而这也是

2019-4-20 08:35 21 8933