工具速递(HW-0day)

最新推荐文章于 2024-03-15 11:20:43 发布
最新推荐文章于 2024-03-15 11:20:43 发布
阅读量341 收藏
点赞数
文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45300266/article/details/132296020
版权

免责声明

该工具仅用于安全自查检测
由于传播、利用此工具所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
本人拥有对此工具的修改和解释权。未经网络安全部门及相关部门允许,不得善自使用本工具进行任何攻击活动,不得以任何方式将其用于商业目的。

工具简介

大师傅 --“银遁安全负责人”,闲来无事编写了一款最新公开漏洞的检测工具

该工具目前包含收录了最新公开的17个漏洞POC 或 EXP

2023/8/6,V1.0更新漏洞检测、利用如下:    

    1、用友移动管理系统文件上传漏洞(YonyouMa UPload)       

    2、用友NC-grouptemplet接口文件上传   

    3、安恒明御堡垒机任意用户添加   

    4、致远互联FE协作办公平台文件上传漏洞

2023/8/10,V1.1更新漏洞利用如下:    

    5、网神SecGate 3600防火墙文件上传漏洞     

    6、泛微EOffice未授权访问漏洞    

    7、泛微EOfficeSQL注入漏洞

    8、绿盟SAS堡垒机任意用户登录漏洞

2023/8/11,V1.2更新漏洞利用如下:

    9、大华智慧园区综合管理平台emap文件上传

    10、大华智慧园区综合管理平台SQL注入

    11、用友时空KSOA_SQL注入

2023/8/14,V1.3更新漏洞利用如下:

    12、大华智慧园区综合管理平台publishing文件上传

    13、任我行CRMSQL注入

    14、宏景HCM文件上传

    15、通达OA_header_inc任意用户登录

    16、泛微E-office-uploadify文件上传

    17、畅捷通Plus_ajaxpro命令执行

功能演示

仅供安全测试人员用于授权测试,请勿非法使用

图片

工具不定期更新中........

工具获取

关注微信公众号 和光同尘hugh ,后台回复 “230815”,获取工具下载链接

 

潮生于海
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
致远OA-A8系统的0day远程命令执行的实战-附件资源
03-02
致远OA-A8系统的0day远程命令执行的实战-附件资源
致远OA-A8系统的0day远程命令执行的实战
god_Zeo的安全博客
07-03 9094
致远OA-A8系统的0day远程命令执行的实战1.环境是实战,漏洞已经提交,打码子处理2.详细漏洞信息和修补参考CNVD官网查看https://www.cnvd.org.cn/webinfo/show/50953漏洞影响范围4漏洞的复现第一步第二步第三步附上POC 请勿用非法用途,只供研究和学习 1.环境是实战,漏洞已经提交,打码子处理 2.详细漏洞信息和修补参考CNVD官网查看https://w...
2023-0Day漏洞检测Tools)HW-漏洞挖掘-src
qq1140037586的博客
08-23 1389
为更好帮助师傅们日常安全巡检期间及攻防演练期间进行安全自查检测,编写了2023公开漏洞的检测工具
【经验分享】2023护网HW行动必看指南
热门推荐
Hacker0830的博客
07-28 1万+
今年的护网又开始摇人了,不知道大家有想法没?去年的护网结束之后,朋友圈感觉是在过年,到处是倒计时和庆祝声。看得出来防守方们7*24小时的看监控还是比较无奈的。本次复盘基于我对整个护网行动的观察总结而来,仅代表我个人观点,如有不妥之处,欢迎交流。经常有人问,是攻击队厉害还是防守队厉害?经过我这些年的思考,还是没有得出一个确切的结论。有时候觉得攻击队厉害,因为攻击可以在非特定时间随意发起,出其不意攻其不备,甚至手持0day指哪打哪,毕竟木桶原理决定着攻破一处即可内部突袭;
racket-sameday:Sameday API的Racket客户端
03-17
"Sameday API"是一个服务接口,可能是用于处理与物流、快递或者即时配送相关的任务。这种API通常提供接口来查询、下单、跟踪包裹等。Racket的客户端库"racket-sameday"为开发者提供了与Sameday API交互的便捷方式,...
快递查询工具源码-易语言
06-12
《快递查询工具源码-易语言》是一款基于易语言编程的网络相关软件源代码,主要用于实现在线快递查询功能。易语言是一种中文编程语言,它的设计理念是“易学易用”,使得初学者能够快速上手,同时也具备专业开发的...
易语言快递查询工具源码-易语言
06-12
【易语言快递查询工具源码】是一个基于易语言开发的行业软件源码,主要用于查询快递物流信息。易语言是一款中国本土化的编程环境,以其独特的图形化编程界面和易学易用的特点,使得初学者也能快速上手编程。该源码...
对策提取-JMSAP04-One Day.docx
09-10
【对策提取-JMSAP04-One Day.docx】 在应对环保和商业诚信问题时,我们需要制定一系列有效的对策。以下是对给定文件中提到的几个关键点的详细解释和扩展: 一、环保对策 1. 完善渣滓处置执法法例:这涉及到建立...
快递查询工具-易语言
06-12
《快递查询工具——易语言详解》 在信息技术日益发达的今天,快递行业的信息化管理变得尤为重要。快递查询工具作为其中的关键一环,不仅方便了消费者实时追踪包裹动态,也为快递公司的运营提供了高效支持。本文将...
2023-0Day漏洞检测Tools)V1.4 HW-漏洞挖掘-src
08-23
工具介绍 为更好帮助师傅们日常安全巡检期间及攻防演练期间进行安全自查检测,编写了2023公开漏洞的检测工具 8月22日 漏洞检测Tools V1.0更新漏洞利用如下: 1、用友移动管理系统文件上传漏洞(YonyouMa UPload) 2、用友NC-grouptemplet接口文件上传 3、安恒明御堡垒机任意用户添加 4、致远互联FE协作办公平台文件上传漏洞 2023/8/10,V1.1更新漏洞利用如下: 5、网神SecGate 3600防火墙文件上传漏洞 6、泛微EOffice未授权访问漏洞 7、泛微EOfficeSQL注入漏洞 8、绿盟SAS堡垒机任意用户登录漏洞 2023/8/11,V1.2更新漏洞利用如下: 9、大华智慧园区综合管理平台emap文件上传 10、大华智慧园区综合管理平台SQL注入 11、用友时空KSOA_SQL注入
HW2020-0day总结1
08-03
2.天融信TopApp-LB sql注入 4.绿盟UTS绕过登录 5.WPS命令执行漏洞 6.齐治堡垒机 rce 7.联软准入漏洞 8.泛微云桥任意文件读取
宏景eHR 任意文件上传漏洞复现(0day
0xSec
07-24 4487
宏景eHR OfficeServer.jsp接口处存在任意文件上传漏洞,未经过身份认证的远程攻击者可利用此漏洞上传任意文件,最终可导致服务器失陷。
大华智慧园区综合管理平台任意文件上传漏洞
xiaokp7的博客
07-30 1149
华智慧园区综合管理平台是一个集智能化、信息化、网络化、安全化为一体的智慧园区管理平台,旨在为园区提供一站式解决方案,包括安防、能源管理、环境监测、人员管理、停车管理等多个方面。大华智慧园区综合管理平台存在文件上传漏洞,攻击者可以通过请求/emap/devicePoint_addImgIco接口任意上传文件,导致系统被攻击与控制。
【1day】复现宏景eHR存在任意文件上传漏洞
记录并分享学习安全的知识点..
07-31 895
北京宏景世纪软件股份有限公司(简称“宏景软件”)自成立以来始终专注于国有企事业单位人力与人才管理数智化(数字化、智能化)产品的研发和应用推广,是中国国有企事业单位人力与人才管理数智化的领航者。 宏景eHR存在任意文件上传漏洞,可经过身份认证的远程攻击者可利用此漏洞上传任意文件,最终可导致服务器失陷。
漏洞复现-宏景HJSOFT系列
最新发布
aming小老弟
03-15 1256
宏景HCM--------------------------------------------fofa:app=“HJSOFT-HCM”
绿盟sas安全审计系统任意文件读取漏洞
holyxp的博客
08-10 1238
绿盟安全审计系统SAS,采用先进的协议识别和智能关联分析技术,对网络数据进行采集、分析和识别,实时动态监测通信内容、网络行为等,对发现的敏感信息传输、违规网络行为实时告警;并全面记录用户上网行为,为调查取证提供依据,满足“151号令”法规要求。绿盟安全审计系统-堡垒机系列 提供一套先进的运维安全管控与审计解决方案,绿盟堡垒机GetFile方法存在任意文件读取漏洞,攻击者通过漏洞可以读取服务器中的任意文件。
10年网安经验分享:一般人别瞎入网络安全行业
aobulaien001的博客
06-08 7231
蓝队,一般是指网络实战攻防演习中的攻击一方。蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段;通过技术手段实现系统提权、控制业务、获取数据等渗透目标,来发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。蓝队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统,获取利益为目标;而蓝队则是以发现系统薄弱环节,提升系统安全性为目标。
新开普智慧校园系统命令执行漏洞[2023HW 0DAY]
m0_46317063的博客
08-15 948
新开普智慧校园系统命令执行漏洞[HW 0DAY]
基于TOPSIS、ARIMA、VAR、0-1规划模型的快递需求分析研究
本文对快递需求分析问题进行了深入分析,采用了多种模型和方法,包括TOPSIS、时间序列预测、VAR、0-1规划等,对解决快递需求分析问题具有重要意义。下面是本文中所涉及到的知识点: 一、数据预处理和标准化处理 * ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值