- 博客(17)
- 收藏
- 关注
RSS订阅原创 Online Piggery Management System v1.0未授权任意文件上传(CVE-2023-37569)
Online Piggery Management System是Lewa个人开发者的一个在线养猪管理系统。Online Piggery Management System v1.0版本存在任意文件上传漏洞,该漏洞源于add-pig.php对上传的文件缺少有效的验证,攻击者可利用该漏洞上传恶意文件从而远程执行任意代码。
2024-12-02 16:51:24
245
原创 BoidCMSv.2.0.0 后台文件上传漏洞(CVE-2023-38836)
BoidCMS是一个免费的开源平面文件 CMS,用于构建简单的网站和博客,使用 PHP 开发并使用 JSON 作为数据库。它的安装无需配置或安装任何关系数据库(如 MySQL)。您只需要一个支持PHP 的Web服务器。在 BoidCMS v.2.0.0 中存在一个安全漏洞,攻击者可以通过更改 MIME 标头来绕过上传文件的限制,并最终执行任意代码。这个漏洞可能导致严重的安全问题,因为攻击者可以上传恶意文件并在服务器上执行它们。
2024-11-26 17:07:09
305
原创 Cuppa CMS-任意文件读取CVE-2022-25401
Cuppa CMS v1.0 administrator/templates/default/html/windows/right.php文件存在任意文件读取漏洞
2024-11-15 16:15:32
182
原创 GDidees CMS任意文件读取CVE-2023-27179
GDidees CMS v3.9.1及更低版本被发现存在本地文件泄露漏洞,漏洞通过位于 /_admin/imgdownload.php 的 filename 参数进行利用。
2024-11-15 15:02:24
189
原创 WordPress BuddyPress 越权漏洞RCE(CVE-2021-21389)
BuddyPress 是一个用于构建社区站点的开源 WordPress 插件。在 7.2.1 之前的 5.0.0 版本的 BuddyPress 中,非特权普通用户可以通过利用 REST API 成员端点中的问题来获得管理员权限。该漏洞已在 BuddyPress 7.2.1 中修复。插件的现有安装应更新到此版本以缓解问题。
2024-07-15 22:20:25
1751
原创 应急响应01-linux入侵排查篇
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
2023-04-23 20:23:31
749
原创 CVE-2017-12615(远程代码执行漏洞)
当 Tomcat 运行在 Windows 操作系统时,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。2、使用burpsuite抓包,修改GET为PUT上传方式,添加文件名1.jsp/,添加shell脚本。1、使用冰蝎v4.05生成jsp脚本。5、打开ip:8080,成功开启。4、测试成功上传Shell。
2023-04-07 10:40:06
3987
原创 Hadoop-yarn-未授权访问漏洞
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
2023-01-04 14:19:45
4339
原创 CVE-2021-41773(Apache 文件读取&命令执行)复现
Apache httpd Server 2.4.49 版本引入了一个具有路径穿越漏洞的新函数,但需要配合穿越的目录配置 Require all granted,攻击者可利用该漏洞实现路径穿越从而读取任意文件,或者在配置了cgi的httpd程序中执行bash指令,从而有机会控制服务器。
2023-01-03 16:51:59
746
原创 什么是HBase ???(个人学习总结)
HBase是一种分布式、可扩展、支持海量数据存储的一个NoSQL数据库,相较于HDFS可以进行随机写操作。
2022-06-14 14:00:53
372
原创 MM-WiKi-搭建公司内部知识库安装教程
MM-Wiki 是一个轻量级的企业知识分享与团队协同软件,可用于快速构建企业Wiki 和团队知识分享平台。部署方便,使用简单,帮助团队构建一个信息共享、文档管理的协作环境。
2022-04-28 09:41:55
1949
原创 如何安装OpenCVE
OpenCVE(以前称为Saucs)是一个平台,用于本地导入CVE列表并在其上执行搜索(按供应商,产品,CVSS,CWE …)。
2022-04-24 10:00:12
6604
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人