七彩网络

它是一个分布式去中心化，易扩展的可视化DAG(有向无环图)工作流任务调度系统。利用漏洞:需要登录权限, [09/12 态势感知]提供一组默认密码。 该漏洞存在于数据源中心未限制添加的jdbc连接参数,从而实现JDBC客户端反序列化。 1、登录到面板 -> 数据源中心。 2、jdbc连接参数就是主角,这里没有限制任意类型的连接串参数......

2020-9-16阅读（1588）评论(2)

未授权无需登录。 1、访问 http://10.20.10.11/listener/cluster_manage.php  :返回 "OK". 2、访问如下链接即可getshell，执行成功后，生成PHP一句话马 3、/var/www/shterm/resources/qrcode/lbj77.php&nb......

2020-9-11阅读（2282）评论(0)

POST /acc/clsf/report/datasource.php HTTP/1.1 Host: Connection: close Accept: text/javascript, text/html, application/xml, text/xml, */* X-Prototype-Version: 1.6.0.3 ......

2020-9-11阅读（1574）评论(0)

poc： POST /Proxy HTTP/1.1 Accept: Accept: */* Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;) Host: host ......

2020-9-11阅读（2025）评论(0)

0x01 前言 2020年07月03日， F5发布了F5 BIG-IP 远程代码执行的风险通告。 F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。 在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的......

2020-7-6阅读（3251）评论(2)

漏洞概述 2020年3月10日，微软官方公布了一个本地提权漏洞CVE-2020-0787，根据微软的漏洞描述声称，攻击者在使用低权限用户登录系统后，可以利用该漏洞构造恶意程序直接提权到administrator或者system权限。system是windows所有操作系统中权限最大的账户。 漏洞详情 Microsoft Windows和Microsoft ......

2020-6-30阅读（4756）评论(0)

感谢Mannix提供文件。 0x01什么是fortify它又能干些什么？ fottify 全名叫：Fortify SCA ，是HP的产品 ，是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行......

2020-6-1阅读（37616）评论(1131)

0x00前言 某年某月某日某网站被Google标记包含恶意软件，针对该问题进行排查（包括后门木马查杀、安全漏洞查找、日志分析、攻击方法、攻击路径及问题复现等），并对存在风险的服务器、web应用等提出安全整改建议。 0x01了解问题 1、网站在9月底出现被标记包含恶意软件的问题，10月10日......

2020-5-12阅读（3696）评论(0)

0x01漏洞描述 CVE-2020-0796是存在于微软服务器SMB协议中的一个“蠕虫化”漏洞，该漏洞未包含 在微软本月发布的补丁中，是在补丁的序言中泄露的。目前微软尚未发布任何技术详情，思科Talos团队和Fortinet公司提供了简短概述，目前尚不清楚该漏洞的补丁何时发布。 Fortinet公司指出，该漏洞是“微软 S......

2020-3-11阅读（11364）评论(65)

0x01前言 Apache Tomcat 是一个免费的开源 Web 应用服务器，在中小型企业和个人开发用户中有着广泛的应用。 0x02漏洞详情 由于Tomcat默认开启的AJP服务（8009端口）存在一处文件包含缺陷，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响Tomcat服务器上的Web目录文件。 ......

2020-2-20阅读（8941）评论(0)