04 2021 档案
摘要:前言 Nacos动态域名和配置服务,英文缩写是Dynamic Naming and Configuration Service, 取的Naming的前两个字母,Configuration的前2个字母,以及Service的首字母组成的。 Fofa title="Nacos" 漏洞复现 POC1:查看用
阅读全文
摘要:描述 系统存在弱口令和任意文件下载漏洞 Fofa app="好视通-视频会议" 弱口令 POC admin/admin 登录界面 登录成功 任意文件下载 POC /register/toDownload.do?fileName=敏感文件路径 (https://xxxxxx/register/toDo
阅读全文
摘要:描述 存在默认弱口令,攻击者可以获得全部主机控制权限 Fofa title="终端安全系统" && title="V8" 默认口令 admin/admin 登录界面 输入默认口令admin/admin登录成功 点击终端管理 可远程执行命令
阅读全文
摘要:漏洞描述 Zyxel NBG2105 存在身份验证绕过,攻击者通过更改 login参数可用实现后台登陆 Fofa app="ZyXEL-NBG2105" POC&EXP python import requests import sys from requests.packages.urllib3.
阅读全文
摘要:漏洞描述 系统存在默认弱口令,登录身份为超级管理员。 FOFA title="中新金盾信息安全管理系统" 口令 admin/zxsoft1234!@#$ 登录界面 成功截图 来源 https://www.adminxe.com/2253.html
阅读全文
摘要:官方解释 SQL注入漏洞官方解释:天擎官方发表声该漏洞为内部已知问题,并且在2020年护网前的版本已经修复。 信息泄露官方解释:天擎官方发表声明并表示Web接口为正常接口,不存在漏洞。 信息泄露 POC /api/dbstat/gettablessize SQL注入 /api/dp/rptsvcsy
阅读全文
摘要:1.获取sql注入,通过sql注入,--is-dba发现为sa权限 2.获取os-shell,使用echo向网站写入webshell(需要知道网站绝对路径) * 可先在本地测试命令是否可以正常执行,然后在将命令使用在实际环境中 echo ^<%@ Page Language="Jscript"%^>
阅读全文
摘要:索引 0x01 志远OA任意用户登录 0x02 dzzoffice 前台RCE 0x03 JellyFin任意文件读取 0x04 帆软 V9getshell【历史漏洞】 0x05 泛微 OA 8 前台SQL注入 0x41 Create Alibaba Nacos认证绕过 0x06 泛微 OA 9前台
阅读全文
摘要:关于Chrome Chrome就是Google浏览器。。。 POC Git链接 https://github.com/r4j0x00/exploits/tree/master/chrome-0day POC /* /* BSD 2-Clause License Copyright (c) 2021,
阅读全文
摘要:前言 2020年6月9日,研究人员Chinmay Pandya在Openssh中发现了一个漏洞,于7月18日公开。OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。深信服安全研究团队依据漏洞重要性和影响力进行评估
阅读全文
