恶意人工智能模型的风险:Wiz Research 发现人工智能即服务提供商 Replicate 存在严重漏洞
Wiz Research 发现了可能导致数百万个私人人工智能模型和应用程序泄露的关键漏洞。
- 0
- 0
- csallin
- 发布于 2024-06-13 10:00:00
- 阅读 ( 28650 )
csallin
若依最新版后台RCE
若依定时任务的实现是通过反射调来调用目标类,目标类的类名可控导致rce。在版本迭代中增加了黑白名单来防御,但仍然可绕过!
- 5
- 5
- Yu9
- 发布于 2024-03-14 09:00:01
- 阅读 ( 28608 )
Yu9
使用 ChatGPT获取Web浏览器的XXE(CVE-2023-4357),收获赏金$28000
使用chatgpt生成xxe测试示例获得chrome和苹果浏览器赏金
- 4
- 1
- csallin
- 发布于 2024-06-12 10:00:02
- 阅读 ( 28541 )
wordperss_country-state-city-auto-dropdown插件未授权sql注入漏洞分析
WordPress的Country State City Dropdown CF 7插件是一款用于WordPress网站的插件,它可以与Contact Form 7(CF 7)表单插件配合使用,为用户提供了一个方便的方式来在表单中选择国家、州/省和城市。近期WordPress Country State City Dropdown CF7插件被爆出在版本2.7.2及之前的版本中存在SQL注入漏洞(CVE-2024-3495),本篇文章围绕该漏洞展开学习。
- 0
- 1
- 中铁13层打工人
- 发布于 2024-07-24 09:35:39
- 阅读 ( 28456 )
中铁13层打工人
使用自动化工具寻找sql注入漏洞
对某开源cms进行代码审计 ,发现虽然该cms虽然对参数参数进行了过滤,但是过滤有限,依然可以通过其他方法绕过进行sql注入,本文将将通过正则匹配的方式,并通过自动化查找工具,寻找某cms中存在的sql注入漏洞
- 1
- 2
- 中铁13层打工人
- 发布于 2024-07-31 09:00:00
- 阅读 ( 28327 )
某园区系统登录绕过分析
最近看到某园区系统去年有个登录绕过+后台上传的组合漏洞,本着学习的心态分析了一下该漏洞,虽说前期了些踩雷,但是也有意外收获。
- 3
- 2
- 中铁13层打工人
- 发布于 2024-02-26 09:00:02
- 阅读 ( 25486 )
mof
从CVE-2023-21839到CVE-2024-20931
某天刷手机看到微信公众号上发布的漏洞通告 "Oracle WebLogic Server JNDI注入漏洞(CVE-2024-20931)" 就联想到了WebLogic之前也存在过的JNDI注入漏洞,分别是CVE-2023-21839 和 CVE-2023-21931 。漏洞通告中说的是CVE-2023-21839的补丁绕过,于是就想看看,学习学习,也回顾一下前面两个漏洞
- 1
- 1
- Stree
- 发布于 2024-02-29 09:00:00
- 阅读 ( 23510 )
Stree
浅聊CVE-2024-22120:Zabbix低权限SQL注入至RCE+权限绕过
Zabbix低权限SQL注入至RCE+权限绕过,可惜没找到关于传webshell的好方法,如有大神告知,感激万分!
- 3
- 0
- W01fh4cker
- 发布于 2024-05-22 14:07:57
- 阅读 ( 22608 )
W01fh4cker
CVE-2024-27460 HP Plantronics Hub 本地提权及任意文件读取漏洞分析
HP Plantronics Hub 3.25.1 存在一个错误,该错误允许低权限用户在安装该应用程序的计算机上以 SYSTEM 身份执行任意文件读取。此外,还可以利用此缺陷将权限升级到 SYSTEM 用户。
- 0
- 0
- 10cks
- 发布于 2024-05-30 09:34:37
- 阅读 ( 22607 )
10cks
lawhackzz
CVE-2024-21683——Confluence Data Center and Server认证后RCE漏洞分析
CVE-2024-21683的漏洞分析,欢迎留言交流。
- 1
- 1
- W01fh4cker
- 发布于 2024-05-24 14:07:16
- 阅读 ( 21854 )
某.net程序文件写入漏洞分析
前段时间看到公开了一个漏洞payload很奇怪,正好有空就分析了一下,也是第一次接触了.net的代码审计,一通分析下来,发现和审计java和php的思路是一样的...
- 1
- 1
- 中铁13层打工人
- 发布于 2024-03-04 10:11:05
- 阅读 ( 21631 )
某cms代码注入漏洞复现与分析
kodbox 是一个网络文件管理器。是一款功能丰富的私有云在线文档管理系统。它可以帮助你快速搭建一个私有网盘/云桌面,方便地管理和共享文件。它也是一个网页代码编辑器,允许您直接在网页浏览器中开发网站。12月16日发布漏洞公告kalcaddle kodbox 中发现命令注入漏洞,影响版本为小于1.48。
- 0
- 0
- 中铁13层打工人
- 发布于 2024-03-07 09:40:45
- 阅读 ( 21447 )
逆向工程实战:通过硬件断点提取恶意软件中的shellcode并分析
如何通过硬件断点从恶意软件中提取Shellcode,使用不同的方法分析shellcode。
- 0
- 0
- Sciurdae
- 发布于 2024-08-19 10:09:23
- 阅读 ( 19183 )
Sciurdae
.NET恶意软件Dark Crystal RAT的详细样本分析
对.NET恶意软件Dcrat样本的一次粗浅分析,手动解码三阶段恶意软件,提取C2服务器和一些恶意行为分析。
- 0
- 0
- Sciurdae
- 发布于 2024-08-21 09:35:54
- 阅读 ( 18605 )
Amadey僵尸网络恶意样本详细分析
Amadey僵尸网络是一种恶意软件,它能够通过接收攻击者的命令来窃取信息并安装其他恶意软件。该样本分析报告分析了Amadey的大致感染过程,以及如何通过xdbg和Ghirda找到该恶意软件的C2信息。
- 0
- 0
- Sciurdae
- 发布于 2024-08-22 09:38:34
- 阅读 ( 18547 )
一文搞懂windows UAC机制逻辑及提权原理
核心内容:"一文讲清楚windows UAC核心机制逻辑,总结历史上常见UAC提权方式是如何利用这些逻辑的漏洞来实现提权的,并提出检测思路"
- 1
- 3
- Ga0WeI
- 发布于 2024-09-06 09:00:00
- 阅读 ( 18398 )
Ga0WeI
CVE-2024-21111 Oracle VirtualBox 本地权限提升漏洞分析
7.16 版本之前的 Oracle VirtualBox 容易受到通过符号链接的影响,导致任意文件删除和任意文件移动。当我们可以进行任意文件删除和任意文件移动时,我们就可以利用windows的机制使用该漏洞进行提权。本篇为CVE-2024-21111 本地提权漏洞的漏洞分析。
- 1
- 1
- 10cks
- 发布于 2024-05-28 10:00:02
- 阅读 ( 18222 )