- 博客(50)
- 资源 (2)
- 收藏
- 关注
原创 【vulntarget】系列:vulntarget-b 练习WP
【vulntarget】靶场系列,vulntarget-b 练习WP,会持续更新……
2023-07-12 20:58:13 992 2
原创 【vulntarget】系列:vulntarget-a 练习WP
【vulntarget】靶场系列,vulntarget-a 练习WP,会持续更新……
2023-07-09 22:50:43 777
原创 【工具分享】-本地版渗透测试辅助工具(web版)
本地版测试辅助工具(web版),直接http服务可用……之前发过一个在【棱角安全团队】反弹shell在线编写工具基础上,结合凌星阁-Shell编码的反弹shell编写工具,当然我这改动应该是很简单的,稍微懂点前端的都可以。这次,还是集合了一些大佬的工具,再加上Chat GPT写代码,我再把代码复制粘贴,终于得到一个新的工具合集,也不水文章了,直接发布这个合集吧。
2023-05-30 10:58:03 424
原创 春秋云境:CVE-2022-22947
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可通过该漏洞恶意创建允许在远程主机上执行任意远程执行的请求。
2023-01-20 15:35:16 847 5
原创 春秋云境:CVE-2022-22963
SpringCloudFunction是SpringBoot开发的一个Servless中间件(FAAS),支持基于SpEL的函数式动态路由。当Spring Cloud Function 启用动态路由functionRouter时, HTTP请求头spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。 题目链接为:http://ip:port P.S 卡慢不影响拿flag
2023-01-20 15:31:43 926
原创 2023第五届 Real World CTF 体验赛 Writeup(web)
2023第五届 Real World CTF 体验赛 Writeup(web)
2023-01-12 11:33:38 2713
原创 春秋云境:CVE-2022-23043
Zenario CMS 9.2 文件上传漏洞,攻击者可上传webshell执行任意命令。登陆信息:admin/adminqwe12
2022-12-13 22:13:55 1053 3
原创 春秋云境:CVE-2022-23134
Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。 Zabbix 存在安全漏洞,该漏洞源于在初始设置过程之后,setup.php 文件的某些步骤不仅可以由超级管理员访问,也可以由未经身份验证的用户访问。
2022-12-06 21:40:47 1992
原创 春秋云境:CVE-2022-23906
CMS Made Simple v2.2.15 被发现包含通过上传图片功能的远程命令执行 (RCE) 漏洞。此漏洞通过精心制作的图像文件被利用。
2022-12-06 20:34:40 1224
原创 春秋云境:CVE-2022-24112
CVE-2022-24112:Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache APISIX中存在远程代码执行漏洞,该漏洞源于产品的batch-requests插件未对用户的批处理请求进行有效限制。攻击者可通过该漏洞绕过Admin API的IP限制,容易导致远程代码执行。
2022-12-04 11:35:29 2694 5
原创 春秋云境:CVE-2022-24124
Casdoor是开源的一个身份和访问管理 (IAM) / 单点登录 (SSO) 平台,带有支持 OAuth 2.0 / OIDC 和 SAML 身份验证的 Web UI 。 Casdoor 1.13.1 之前存在安全漏洞,该漏洞允许攻击者通过api/get-organizations进行攻击。
2022-12-02 17:57:21 2586 1
原创 春秋云境:CVE-2022-24663
远程代码执行漏洞,任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求,并在站点上执行任意 PHP 代码。P.S. 存在常见用户名低权限用户弱口令
2022-12-01 19:53:31 1529
原创 春秋云境:CVE-2022-25099
WBCE CMS v1.5.2 /language/install.php 文件存在漏洞,攻击者可精心构造文件上传造成RCE
2022-12-01 16:26:29 1370
原创 春秋云境:CVE-2022-25401
Cuppa CMS v1.0 administrator/templates/default/html/windows/right.php文件存在任意文件读取漏洞
2022-12-01 16:21:25 975
原创 春秋云境:CVE-2022-25411
MaxSite CMS是俄国MaxSite CMS开源项目的一款网站内容管理系统。马克斯程序(MaxCMS)以开源、免费、功能强大、安全健壮、性能卓越、超级易用、模板众多、插件齐全等优势,受到众多企业和站长的喜爱。马克斯程序研发团队拥有多年的技术积累和产品开发经验,成立了官方技术支持团队、官方模板团队、官方插件团队。一切立足于站长利益、孜孜不倦的挖掘站长需求、不断提升产品体验,自主创新多项特色技术、提升网站品质!独立开发的管理员管理系统,可以对管理员进行更能人性化的管理网站。 Maxsite CMS存在文件
2022-12-01 16:16:39 1727 4
原创 春秋云境:CVE-2022-28512
Fantastic Blog (CMS)是一个绝对出色的博客/文章网络内容管理系统。它使您可以轻松地管理您的网站或博客,它为您提供了广泛的功能来定制您的博客以满足您的需求。它具有强大的功能,您无需接触任何代码即可启动并运行您的博客。 该CMS的/single.php路径下,id参数存在一个SQL注入漏洞。
2022-11-29 21:12:51 1085
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人