小阿辉谈安全

摘要： Cobalt_Strike <4.7.1 RCE （CVE-2022-39197) 01漏洞介绍 Cobalt Strike (CS) 是一个为对手模拟和红队行动而设计的平台，相当于增强版的Armitage，早期以Metasploit为基础框架，3.0版本之后作为独立平台开发，主要用于目标攻击和模拟 阅读全文

摘要： 原理 据Goby官方解释，这实际上是一个非常久远的历史漏洞，最早的纰漏的时间是在2021年10月，当月漏洞就已修复并发布新版本。至于漏洞为何存在，得追溯到Goby的组件识别能力，Goby是使用Electron构建的客户端软件，在Goby的资产界面中，扫描结果里会展示所有符合指纹识别规则的组件名称，比 阅读全文

摘要： yakit爆出一个任意文件读取漏洞,警惕中招 阅读全文

摘要： 一次内网渗透基础靶场练习 阅读全文

摘要： 最全的Struts2 漏洞复现合集，持续更新中 阅读全文

摘要： phpstudy后台管理页面存在存储型XSS漏洞 阅读全文

摘要： 什么是DNSlog？ DNSlog就是DNS的日志，DNS在域名解析的时候会留下域名和解析IP的记录 三个常见的DNSLog平台： http://ceye.io http://www.dnslog.cn/ http://eyes.sh/dns/ DNSLOG利用场景？ sql注入时, 存在盲注或者延 阅读全文

摘要： 当通过任意文件下载或者目录穿越读取或下载/etc/shadow文件时，可以通过john对加密的密码进行破解 阅读全文

摘要： WebLogic存在远程代码执行漏洞，未经授权的攻击者利用此漏洞通告T3、IIOP协议构造恶意请求发送给WebLogic服务器，成功利用此漏洞后攻击者可以接管WebLogic服务器，并执行任意命令。 阅读全文

摘要： 禅道是一款国产的开源项目管理软件，也是国内最流行的项目管理软件。该系统在2023年初被爆出在野命令执行漏洞，官方已于2023年1月12日发布了漏洞修复补丁。该漏洞是由于禅道项目管理系统权限认证存在缺陷导致，攻击者可利用该漏洞在未授权的情况下，通过权限绕过在服务器执行任意命令。 阅读全文