Shun's Blog - 致力于关注黑客技术、网络安全、WEB安全。-Shun's Blog - 专注于网络安全,WEB安全,漏洞发布,渗透技术,黑客攻防,攻防演练,是一个综合性黑客技术分享交流博客。

七彩网络

关注WEB安全、网络安全
安全资讯

Apache DolphinScheduler远程代码执行[CVE-2020-11974]

它是一个分布式去中心化,易扩展的可视化DAG(有向无环图)工作流任务调度系统。利用漏洞:需要登录权限, [09/12 态势感知]提供一组默认密码。 该漏洞存在于数据源中心未限制添加的jdbc连接参数,从而实现JDBC客户端反序列化。 1、登录到面板 -> 数据源中心。 2、jdbc连接参数就是主角,这里没有限制任意类型的连接串参数......

阅读(1588)评论(2)

安全资讯

用友GRP-u8 注入POC

poc: POST /Proxy HTTP/1.1 Accept: Accept: */* Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;) Host: host ......

阅读(2025)评论(0)

安全通告

F5 BIG-IP 远程代码执行漏洞 - CVE-2020-5902

0x01 前言 2020年07月03日, F5发布了F5 BIG-IP 远程代码执行的风险通告。 F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。 在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的......

阅读(3251)评论(2)

安全通告

Windows全版本本地提权(CVE-2020-0787)

漏洞概述 2020年3月10日,微软官方公布了一个本地提权漏洞CVE-2020-0787,根据微软的漏洞描述声称,攻击者在使用低权限用户登录系统后,可以利用该漏洞构造恶意程序直接提权到administrator或者system权限。system是windows所有操作系统中权限最大的账户。 漏洞详情 Microsoft Windows和Microsoft ......

阅读(4756)评论(0)

安全工具

Fortify白盒神器20.1.1破解版,附license

感谢Mannix提供文件。 0x01什么是fortify它又能干些什么? fottify 全名叫:Fortify SCA ,是HP的产品 ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行......

阅读(37616)评论(1131)

应急响应

公网服务器弱口令引起Google“注意”

0x00前言 某年某月某日某网站被Google标记包含恶意软件,针对该问题进行排查(包括后门木马查杀、安全漏洞查找、日志分析、攻击方法、攻击路径及问题复现等),并对存在风险的服务器、web应用等提出安全整改建议。 0x01了解问题 1、网站在9月底出现被标记包含恶意软件的问题,10月10日......

阅读(3696)评论(0)

安全通告

微软SMB3协议远程利用0day漏洞 - CVE-2020-0796

0x01漏洞描述 CVE-2020-0796是存在于微软服务器SMB协议中的一个“蠕虫化”漏洞,该漏洞未包含 在微软本月发布的补丁中,是在补丁的序言中泄露的。目前微软尚未发布任何技术详情,思科Talos团队和Fortinet公司提供了简短概述,目前尚不清楚该漏洞的补丁何时发布。 Fortinet公司指出,该漏洞是“微软 S......

阅读(11364)评论(65)

安全通告

Apache Tomcat服务器文件包含漏洞附poc

0x01前言 Apache Tomcat 是一个免费的开源 Web 应用服务器,在中小型企业和个人开发用户中有着广泛的应用。 0x02漏洞详情 由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。 ......

阅读(8941)评论(0)