安全情报

Win11高危漏洞被公开

阅读(908)评论(0)

0#事件 GitHub上突然有人上传了一个Win11最新漏洞的利用办法,几天之内暴涨1300多星 微软漏洞发现赏金现已大幅缩水,曾有白帽黑客抱怨本来该获得 1 万美元的漏洞,最后只拿到 1 千美元,直接缩水 90%,于是这位黑客就直接将其放在Github上公开来了! 按这位黑客自己的说法“现在微软的赏金已成了垃圾”。 1#详细情况 通过...

漏洞复现

在野利用漏洞!!泛微E-Office文件上传漏洞(CNVD-2021-49104)

阅读(1315)评论(0)

1#漏洞简介 泛微e-office是泛微旗下的一款标准协同移动办公平台。 近日,网络上出现 泛微E-Office 文件上传漏洞(CNVD-2021-49104)在野利用事件,由于 e-office 未能正确处理上传模块中的用户输入,攻击者可以通过该漏洞构造恶意的上传数据包,最终实现任意代码执行。 2#影响版本 泛微e-office V9.0 ...

安全情报

SonarQube漏洞导致大量源码泄露

阅读(2219)评论(0)

0#漏洞简介 SonarQube是一款开源静态代码质量分析管理工具,在默认配置的情况下,缺少对API 接口的访问权限控制,攻击者可利用该漏洞在未授权的情况下,通过访问api/settings/values接口从而获取到 SMTP、SVN、GitLab 凭据,进一步获取源代码数据仓库中的源代码,造成项目源代码泄露。同时还可以对使用默认账号密码的用户进行攻击,...

漏洞复现

Gitlab未授权RCE(CVE-2021-22205)漏洞

阅读(3522)评论(0)

0#漏洞简介 GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,并在此基础上搭建起来的 Web服务。 GitLab是一款Ruby开发的Git项目管理平台。 如11.9以后的GitLab中,因为使用了图片处理工具ExifTool而受到漏洞CVE-2021-22204的影响,攻击者可以通过一个未授权的接口上传一张恶意构造的...

安全情报

最新:“免费” IDA Pro 安装包里放后门!!!

阅读(3562)评论(0)

0#事件 根据杀毒软件厂商 ESET Research 的消息,APT 组织 Lazarus 又有新花样了。 Lazarus 此前曾在社交网络上伪装研究员和社区套近乎,发送恶意 Visual Studio 工程文件,甚至浏览器 0day 的方式,试图入侵安全研究员的电脑。(前情提要:胖胖胖家的社工黑客又被封号了) 1#详细情况 这一次,他们选择给...

CTF

Bilibili2021「1024」CTF Write Up

阅读(2064)评论(0)

0#简介 又是一年1024程序员节,在这里也祝各位师傅们节日快乐! 还记得上次的B站挑战赛吗?传送门:https://blog.aabyss.cn/post-98.html B站也推出了“一起开启大冒险”的主题活动,同时,也推出了哔哩哔哩1024CTF的挑战页面,大家一起来挑战吧! 活动地址:https://www.bilibili.com/bl...

漏洞复现

Dedecms v5.8 未授权RCE 漏洞

阅读(2308)评论(0)

0#漏洞简述 2021年9月30日,老外曝光了关于国产知名框架DedeCMS的远程未授权RCE漏洞,在国内安全圈引起了广泛关注和分析。 团队内部也专门对此漏洞进行了复现和分析,学习到了一些实用的知识。 以下内容,是翻译自该老外的博客,之所以没有第一时间放出来,是为了防止造成恶劣的影响。 原文地址:https://srcincite.io/bl...

团队事务

2021补天白帽大会,我们共同前行

阅读(2123)评论(0)

0#前言 时光如梭,光阴似箭,很快又是一年过去了,团队仍旧在茁壮发展。 但今年有些许不同,很多时候,我们看到的是灰暗,但在灰暗之中我们看到的,仍旧是希望! 中国网络安全行业的发展、政策的变化,事关行业整体水平和风气,也事关各位业内师傅的未来。 但是我们也不能放弃希望,而要埋头奋力前行 1#补天大会 2021年9月17日,就是在9月初刚实行新政...

渗透测试

(原创)对某贷款APP及下载平台的渗透

阅读(1532)评论(0)

前几天GA发来一个链接找下APK,让帮忙打下看看情况,于是链接给我后,我打开一看,这不正是前天无聊时候打的一个站嘛。下面进入干的过程(分两部分): 第一部分首页界面如下: 说干就干,直接端口、目录扫描,拿到了宝塔端口和后台地址。 对后台地址进行爆破后无果,后续前台注册账户后进行文件上传,根据之前经验是没...

安全情报

微软和Google发布浏览器紧急安全更新

阅读(1298)评论(0)

0#事件 Google浏览器和基于微软Chrome的Edge浏览器的几个漏洞已经被披露。 攻击者可以利用这一点,目前还没有发现被外部利用来攻击的迹象。 事实上要利用它,只需调用一个恶意设计的网站或点击一个特别设计过的页面链接。 这些漏洞被判定为4级风险,意味着它们影响大,容易被利用。 1#详细情况 如果你的浏览器提示你升级,请一定不要拒绝...