普通网友-CSDN博客

原创利用Hooka开源的多种功能shellcode加载器实现快速免杀火绒，静态360+360杀毒，微步查杀1，vt查杀7(教程)

Hooka 能够生成具有多种功能的 shellcode 加载器。它还基于BokuLoader、Freeze或Shhhloader等其他工具，并尝试实现更多规避功能。

2024-11-24 21:03:03 1700 1

原创带web界面的C2工具vshell_4.9.3(包括Windows,linux暂时没有Mac)含使用教程及分享

Vshell 是一款 Golang 编写的主机群管理工具（RAT）支持web界面有华丽的操作界面以下我将使用parrot(鹦鹉)来演示vshell的使用教程。

2024-11-05 11:59:23 3075 4

原创 Vite存在任意文件读取漏洞(CVE-2025-30208)

Vite 是一款现代化的前端开发构建工具，它提供了快速的开发服务器和高效的构建能力，广泛应用于 Vue.js 项目的开发过程中

2025-03-26 23:09:53 289

原创龙腾码支付submit.php存在SQL注入漏洞

龙腾码支付是一种免签约支付工具，专为个人和企业收款设计。它为支付宝和微信支付的个人账户及企业账号提供即时到账的收款API接口，确保交易的安全性和可靠性。此外，龙腾码支付的费率较低，收款直接进入个人账户，无需经过第三方平台，避免了跑路的风险。目前，龙腾码支付提供了支付插件，支持DZ论坛和织梦等平台的集成。

2025-02-11 19:38:21 217

原创 Faveo Helpdesk存在目录遍历漏洞(CVE-2024-37700)

Faveo Helpdesk 是一款功能强大的帮助台管理软件，旨在简化和自动化企业的客户支持流程。它为企业提供一个集中的平台，用于管理客户的请求、问题和反馈。Faveo Helpdesk 特别适合中小型企业，提供了一些关键功能，使支持团队能够更高效地处理用户查询并提供优质服务。

2025-02-09 16:08:59 270

原创 Aquatronica控制系统tcp存在信息泄露漏洞

Aquatronica 控制系统是一款为水族爱好者设计的综合性电子控制平台，能够实时监控和自动化管理水族箱中的各种设备（如泵、过滤器、照明和温度控制），并通过可扩展的传感器和模块确保水族环境的健康与稳定。

2025-02-09 14:35:31 284

原创 ZoneMinder index.php存在SQL注入漏洞(CVE-2024-43360)

ZoneMinder是一款免费的开源视频监控软件，专为Linux和FreeBSD操作系统设计，遵循GNU通用公共许可证（GPL）发布。它允许用户通过Web界面控制，支持标准摄像头（通过捕获卡、USB、FireWire等）或基于IP的摄像头设备。

2025-02-09 14:20:55 238

原创 ClusterControl CMON API存在目录遍历漏洞(CVE-2024-41628)

ClusterControl 是一款由 Severalnines 开发的无代理数据库集群管理和自动化软件。它支持多种数据库系统，包括 MySQL、MariaDB、PostgreSQL、MongoDB 等，旨在简化数据库的部署、监控、管理和扩展。

2025-02-08 15:43:22 220

原创 WordPress wp-recall插件存在SQL注入漏洞(CVE-2024-32709)

WP-Recall 是一款功能丰富的 WordPress 插件，旨在为网站用户提供灵活的个人账户管理功能。通过 WP-Recall，用户可以轻松地与他人沟通、定制个人资料、创建兴趣小组、参与论坛互动，并在在线商店中进行订单支付等。

2025-02-08 15:17:46 439

原创锐明技术Crocus系统Service存在任意文件读取漏洞

任意文件读取漏洞是一种常见且危害严重的文件操作类漏洞，广泛存在于多种编程语言中，如 PHP、Java 和 Python 等。这种漏洞使攻击者能够未经授权地访问服务器上的任意文件，可能导致敏感信息的泄露、数据的篡改，甚至引发其他严重的安全问题。

2025-02-08 14:50:08 232

原创龙腾码支付service存在任意文件读取漏洞

龙腾码支付是一种免签约支付工具，专为个人和企业收款设计。它为支付宝和微信支付的个人账户及企业账号提供即时到账的收款API接口，确保交易的安全性和可靠性。此外，龙腾码支付的费率较低，收款直接进入个人账户，无需经过第三方平台，避免了跑路的风险。目前，龙腾码支付提供了支付插件，支持DZ论坛和织梦等平台的集成。

2025-02-08 14:32:30 566

原创 zzcms index.php存在SQL注入漏洞

ZZCMS（ZhiZhu Content Management System）是一款基于PHP和MySQL的内容管理系统（CMS），广泛用于构建和管理网站内容。它提供了丰富的功能，如文章发布、分类管理、评论系统等，旨在为用户提供一个易于使用且功能全面的建站平台。

2025-02-07 14:01:50 187

原创 WordPress email-subscribers插件存在SQL注入漏洞(CVE-2024-2876)

Email Subscribers & Newsletters 插件是一款功能强大的邮件订阅工具，适用于博客、网站和电子商务平台。它可以帮助网站管理员轻松管理订阅者列表、发送自动化的邮件通知和新闻通讯。

2025-02-06 10:54:39 155

原创 WordPress eventon-lite插件存在未授权信息泄露漏洞(CVE-2024-0235)

EventON 是一款高度可定制的 WordPress 活动日历插件，提供丰富的功能，如无限制事件创建、重复事件管理、多个布局样式、详细的地点和组织者信息，以及简码集成功能，使用户能够轻松地在网站上展示和管理各种活动，同时支持多语言和多种数据类型，适用于各类活动日程安排需求。

2025-01-31 12:05:01 585

原创 F-logic DataCube3 getting_index_data.php存在SQL注入漏洞(CVE-2024-31750)

F-logic DataCube3 是一种用于工业和企业环境的数据管理和可视化工具。它通过将不同来源的数据集成到一个统一的数据库中，提供分析、监控和数据可视化的功能。这个平台特别适用于需要对大量实时数据进行处理和分析的行业，如能源、电力、制造业等。

2025-01-29 16:25:44 277

原创 FortiOS 存在身份验证绕过导致命令执行漏洞(CVE-2024-55591)

FortiOS 是 Fortinet 公司开发的操作系统，作为 Fortinet 安全平台的核心，提供全面的网络安全功能。它将网络和安全功能无缝集成，支持跨本地、云、混合和融合 IT/OT/IoT 基础设施环境的统一管理。 FortiOS 7.6 版本引入了生成式人工智能助手、数据保护、托管服务和单一代理等新功能，进一步增强了其安全性和性能。

2025-01-29 15:16:30 1248

锐捷网络的EWEB（也称为eWeb）是设备的Web网管系统，旨在通过浏览器（如Chrome）对设备进行管理和配置。锐捷睿易该系统由Web服务器和Web客户端两部分组成，服务器集成在设备上，负责接收和处理客户端请求，并将结果返回给客户端。客户端通常是指浏览器，如Chrome、IE等。通过EWEB，管理员可以方便地访问设备的Web管理界面，进行配置和管理操作。例如，在锐捷睿易RG-EW系列路由器中，EWEB提供了直观的Web配置界面，支持快速配置、网络设置、无线设置等功能。

2025-01-27 23:26:33 521

原创 WordPress web-directory-free插件存在本地文件包含导致任意文件读取漏洞(CVE-2024-3673)

Web Directory Free 是一款 WordPress 插件，旨在帮助用户在几分钟内创建目录或分类广告网站。该插件结合了 WordPress 的灵活性与目录和分类广告的功能，提供了一个易于使用的在线目录解决方案。

2025-01-27 23:01:52 554

原创 WordPress event-monster插件存在信息泄露漏洞(CVE-2024-11396)

Event Monster 是一款功能强大的 WordPress 插件，专为组织和管理各类线上活动设计，提供活动创建、票务管理、与会者注册、社交分享及支付集成等多种功能，帮助用户轻松管理活动并实现在线注册和支付。它支持定制化注册表单、生成票务类型与数量、自动发送电子邮件通知等功能，并与 PayPal 等支付网关无缝对接，确保活动管理和参与体验流畅高效。

2025-01-25 22:52:40 668

原创致远互联FE协作办公平台loadInforData.jsp存在SQL注入漏洞

致远互联FE协作办公平台是一款企业级的协作办公软件，主要致力于帮助企业提高工作效率，优化企业内部沟通与协作。该平台整合了多种办公功能，提供便捷的工作流管理、任务跟踪、信息交流等服务，支持企业员工之间的信息共享、协作和交流。

2025-01-24 18:04:34 378

原创美特CRM mcc_login.jsp存在SQL注入漏洞

MetaCRM 是一种现代化的客户关系管理（CRM）平台，旨在通过集成和自动化的方式帮助企业管理与客户的关系，提高销售和服务效率。MetaCRM 的功能和特性通常涵盖了多个领域，包括销售、营销、客户服务、数据分析和自动化工具。

2025-01-21 18:34:09 380

原创 SimpleHelp远程管理软件存在任意文件读取漏洞(CVE-2024-57727)

SimpleHelp是一款远程支持和远程桌面管理软件，常用于企业和IT服务提供商提供技术支持和远程管理服务。它通过浏览器或客户端应用程序，使技术支持人员能够在不需要直接访问用户计算机的情况下，远程解决问题或执行任务。SimpleHelp主要面向帮助台、IT支持、客户支持、技术服务等领域，能够帮助组织高效管理技术问题并提供远程诊断和支持服务。

2025-01-18 16:41:36 720

原创 DATAGERRY存在访问控制中断导致的API认证绕过漏洞(CVE-2024-50967)

DATAGERRY是一个开源的数据资产管理平台，专门用于集中管理企业或组织的硬件、软件、网络设备和其他IT资源。它使组织能够更好地管理和追踪其IT资产，提供资产生命周期管理、配置管理、和资源规划等功能。

2025-01-17 18:43:11 268

原创 Ivanti Connect Secure存在堆栈溢出导致远程代码执行漏洞(CVE-2025-0282)

IvantiConnectSecure（之前称为PulseConnectSecure）是由Ivanti提供的一款企业级安全远程访问解决方案，主要用于提供虚拟专用网络（VPN）服务。它允许用户通过加密的连接安全地访问企业内部网络和资源，无论用户身处何处。该解决方案广泛应用于企业环境，特别是在远程工作和移动办公的背景下，确保数据和应用程序的安全访问。

2025-01-17 17:37:43 468

原创 unibox confirm_guest_move存在SQL注入漏洞

unibox是一个集内容管理与发布于一体的智能平台，广泛服务于新闻媒体及内容创作行业。平台支持多端协同和多渠道分发，拥有素材管理、内容编辑、智能审核等核心功能，并通过技术辅助创作与数据分析，显著提升内容生产效率与传播质量。从内容采集到发布实现全流程覆盖，优化工作流程，提高传播的精准度和时效性，帮助用户在数字化内容生态中实现高效协作与影响力扩展。

2025-01-16 17:12:44 273

原创 WordPress Squirrly SEO插件存在身份认证SQL注入漏洞(CVE-2025-22783)

Squirrly SEO是一款专为WordPress网站设计的多功能SEO插件，旨在帮助用户提升网站在搜索引擎中的排名。其主要功能包括关键词研究、内容优化、SEO分析、技术SEO、网站审核和排名跟踪等。该插件由人工智能驱动，为用户提供实时建议，简化SEO流程，即使是初学者也能轻松上手。

2025-01-16 16:52:49 550

原创 Apache NiFi存在信息泄露漏洞(CVE-2024-56512)

Apache NiFi 是一个强大的、易于使用的数据集成平台，旨在自动化和管理数据流，尤其是在大数据环境中。它是 Apache 软件基金会下的一个开源项目，广泛应用于数据流的构建、管理和调度。NiFi 提供了强大的数据流设计、调度、监控和管理功能，适用于处理各种数据源、存储和目的地。

2025-01-14 17:27:07 655

原创安科瑞电气股份有限公司环保用电监管综合云平台uploadworld 存在任意文件上传漏洞

安科瑞电气股份有限公司是一家集研发、生产、销售和服务于一体的高新技术企业，致力于为用户端提供能效管理和用电安全的系统解决方案。目前已有8000多套各类系统解决方案在全国各地运行，帮助用户实现能源的可视化管理，提供能源数据服务，为用户高效和安全用能保驾护航。

2025-01-14 13:45:27 277

原创用友NC checkekey存在SQL注入漏洞

用友NC是一个平台级的财务软件，就好比是Windows系统，可以在系统的框架之上接入各种类型的业务软件。用友NC的平台级功能，一是可以作为一个集成其他各类业务软件的平台（财务软件+API接口模式），另外用友NC本身自带数据中心+主数据的多系统集成功能，三是可以在用友NC的基础上进行二次开发，功能集成在财务软件中。

2025-01-10 14:41:55 218

原创深科特LEAN MES系统SMTLoadingMaterial存在SQL注入漏洞

深科特LEANMOM/MES系统可对制造业关键生产环节中的库存进行精细化管控（物料的来料、物料的检验、物料的保质期、物料的先进先出FIFO、呆滞料、成品的入库、成品的出货、追溯等），能扩展生产中对设备的互联（如设备状态、设备参数、设备性能等重要信息的采集、设备的控制），还可进一步扩展未来对生产的业务要求。

2025-01-10 14:30:53 341

原创瑞友天翼应用虚拟化系统GetPwdPolicy存在SQL注入漏洞

瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权，基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上，客户端通过WEB即可快速安全的访问经服务器上授权的应用软件，实现集中应用、远程接入、协同办公等，从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。

2025-01-09 14:08:18 247

原创 Netis路由器存在信息泄露漏洞(CVE-2024-48455)

Netis路由器是由Netis Systems公司生产的一系列网络设备，涵盖了家用和商用市场的无线路由器、交换机、网络适配器等产品。Netis Systems隶属于中国的深圳市博瑞凯通信设备有限公司（Netcore Networks），其品牌定位主要是提供高性价比的网络解决方案，产品以易用性和功能性为主，面向全球用户。

2025-01-09 10:00:00 566

原创 D-Security终端文件保护系统logFileName存在任意文件读取漏洞

D-Security 端点文件保护系统是由以柔资讯（W&Jsoft）开发的文件加密产品，旨在从文件生成时即对其进行自动加密，提供全生命周期的安全防护。该系统被政府和国安局等情治单位认可为安全的文件加密产品，符合营业秘密法规范，能够完整记录用户对文件的访问和交换轨迹，提供文件访问溯源记录，帮助企业建立信息安全治理循环。此外，D-Security 支持与企业内部的 PLM、ERP、KM 等信息系统无缝整合，方便各部门根据业务需求灵活设置机密文件的访问权限，提升企业核心竞争力。

2025-01-08 15:07:19 165

原创蓝凌EIS智慧协同平台fi_message_receiver存在SQL注入漏洞(CVE-2025-22214)

蓝凌EIS智慧协同平台是一款专为成长型企业打造的沟通、协同、社交的移动办公平台，旨在提升企业内部沟通、协作和信息共享的效率。该平台集成了各种协同工具和功能，全面满足企业的办公需求。具体来说，它覆盖了审批、流程、财务、行政、人事、客户等全在线业务，实现了审批流程的优化、财务数据的实时同步、行政管理的便捷化、人事信息的集中管理以及客户关系的有效维护。广泛应用于各行各业的企业中，如制造业、服务业、金融业等。它能够帮助企业实现数字化办公和智能化管理，提高工作效率和管理水平。

2025-01-08 14:55:27 277

原创校盈家财务收费管理平台getstudent存在信息泄露漏洞

校盈家是成都博友科技开发有限公司推出的学校财务收费管理平台，集成了学校财务收费管理、学生缴费管理、电子票据管理和线上学生信息采集等功能，旨在提升学校财务管理效率，方便学生和家长完成缴费，并实现与国家财政非税系统和税务云平台的无缝对接。

2025-01-08 14:38:48 323

原创 Aviatrix Controller存在命令注入漏洞(CVE-2024-50603)

Aviatrix Controller 是一个集中控制面板，用于编排和管理 AWS 上的各种网络和连接解决方案。 Aviatrix Controller 的一个关键功能是 Aviatrix Orchestrator，它使用 AWS Transit Gateway 编排和管理端到端连接。 AWS Transit Gateway 继而简化 VPC 到 VPC 连接并整合边缘连接。

2025-01-08 14:18:00 445

原创 Four-Faith存在未授权命令注入漏洞(CVE-2024-12856)

Four-Faith（厦门四信通信科技有限公司）是一家专注于物联网（IoT）和工业通信技术的企业，提供高可靠性的工业路由器、通信模块、智能终端及物联网平台解决方案，广泛应用于智慧城市、智慧能源、工业自动化等领域，并以全球化的业务覆盖、强大的研发能力和定制化服务在行业内享有良好声誉。

2025-01-07 14:13:02 595

原创爱数AnyShare SMTP_GetConfig存在信息泄露漏洞

爱数 AnyShare智能内容管理平台是由上海爱数信息技术股份有限公司自主研发的一款软硬件一体化产品，主要面向企业级用户，提供非结构化数据管理方案。AnyShare基于私有云存储，面向移动办公、桌面虚拟化、BYOD（自带设备办公）的客户提供私有文档云解决方案，旨在打造组织的统一文档平台。它不仅能够实现海量非结构化数据的存储和管理，还支持多终端同步、实时共享、多人在线编辑等功能，极大提升了团队协作效率和数据安全性。

2025-01-06 16:51:57 529

原创 MasterSAM downloadService存在任意文件下载漏洞(CVE-2024-55457)

MasterSAM是一家专注于提供特权访问管理（PAM）解决方案的企业，其产品和服务广泛应用于各行业，以帮助组织保护其关键系统和敏感数据免受内部和外部威胁。MasterSAM 提供功能全面的解决方案，包括特权账户的集中化管理、身份验证、访问控制、活动监控、多因素认证（MFA）、会话录像与审计，以及自动化的密码轮换和存储功能。该平台支持跨平台部署，兼容多种 IT 环境和云基础架构，通过严格的访问权限管理和实时监控，确保 IT 基础设施的安全性和合规性。同时，MasterSAM 还为客户提供灵活的定制化选项，帮

2025-01-06 15:03:20 358

原创 Apache Traffic存在SQL注入漏洞(CVE-2024-45387)

Apache Traffic Server（ATS）是一个高性能的缓存代理服务器，主要用于加速 Web 应用程序和 API 交付。它由 Apache 软件基金会开发和维护，是一个开源项目。

2025-01-05 10:39:11 757

空空如也

空空如也