歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!
  • CVE-2020-0674 IE 0 day漏洞補丁影響Windows打印服務
  • 1月17日,微軟公布了一個影響IE 9/10/11版本的0 day遠程代碼執行漏洞——CVE-2020-0674,由于確定該 0 day漏洞已有在野利用,因此微軟發布了一個歷史補丁。但該補丁在Windows上引發了很多問題,包括影響部......
  • 所屬分類:漏洞公告 更新時間:2020-01-31 相關標簽: 閱讀全文...
  • Weblogic IIOP反序列化漏洞(CVE-2020-2551) 漏洞分析
  • 2020年1月15日, Oracle官方發布了CVE-2020-2551的漏洞通告,漏洞等級為高危,CVVS評分為9.8分,漏洞利用難度低。影響范圍為10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0。 0x01 漏洞分析 從Oracle 官方的CP......
  • 所屬分類:漏洞公告 更新時間:2020-01-31 相關標簽: 閱讀全文...
  • CVE-2018-8174雙殺漏洞分析復現及防御
  • 一、漏洞背景 CVE-2018-8174漏洞是360追日安全團隊于4份捕獲到的,并將其命名為“雙殺”漏洞,意指在IE瀏覽器以及office均可以引發的漏洞。 該漏洞在當時影響最新版本的IE瀏覽器以及使用了IE內核的應用程序。用戶在......
  • 所屬分類:漏洞公告 更新時間:2020-01-28 相關標簽: 閱讀全文...
  • 谷歌翻譯服務(Google Translator)的跨站漏洞
  • 在這篇文章里,越南籍作者通過發現了谷歌翻譯服務(Google Translator)越翻英界面中存在的跨站漏洞(XSS),最后經測試驗證,獲得了谷歌官方獎勵的$3133.70,我們一起來看看。 凌晨發現XSS漏洞 河內,凌晨2點的冬......
  • 所屬分類:漏洞公告 更新時間:2020-01-28 相關標簽: 閱讀全文...
  • CVE-2019-0708 漏洞分析及相關測試
  • 在CVE-2019-0708公布后幾天就已經嘗試過復現該漏洞,但借助當時exp并沒能成功復現反彈shell的過程遂放棄,故借助這次漏洞復現報告再來嘗試復現該漏洞,因為還在大三學習中,有很多知識還沒有掌握,出現的錯誤希望得到......
  • 所屬分類:漏洞公告 更新時間:2020-01-28 相關標簽: 閱讀全文...
  • CVE-2020-0674: IE 0 day漏洞
  • 微軟在發布的安全公告(ADV200001)中提到了一個影響IE瀏覽器的0day 遠程代碼執行漏洞——CVE-2020-0674,微軟確定該 0day漏洞已有在野利用。 根據微軟發布的安全公告,CVE-2020-0674漏洞是一個遠程代碼執行......
  • 所屬分類:漏洞公告 更新時間:2020-01-21 相關標簽: 閱讀全文...
  • 使用VC2017+IDA模擬復現CVE-2017-11882緩沖區溢出
  • 緩沖區溢出是一種非常普遍的漏洞,廣泛存在于操作系統和各種應用軟件中。通過緩沖區溢出攻擊,可以完成執行非授權命令、執行惡意shellcode等高危攻擊操作。 在過往的緩沖區漏洞利用案例中,CVE-2017-11882是我印象比......
  • 所屬分類:漏洞公告 更新時間:2020-01-21 相關標簽: 閱讀全文...
  • CVE-2020-0601漏洞分析
  • 2020年1月15日,微軟公布了1月份的補丁更新列表,其中存在一個位于CryptoAPI橢圓曲線密碼(ECC)證書檢測繞過相關的漏洞(CVE-2020-0601),該漏洞為NSA發現并匯報給微軟。攻擊者可以利用這個漏洞,使用偽造的代碼簽名證......
  • 所屬分類:漏洞公告 更新時間:2020-01-21 相關標簽: 閱讀全文...
  • CVE-2019-19781 PoC
  • 近日,研究人員發現Citrix Application Delivery Controller (ADC)和Citrix Gateway中存在一個目錄遍歷漏洞,遠程攻擊者利用該漏洞可以發送目錄遍歷請求,從系統配置文件中讀取敏感信息而無需用戶認證,并可以遠程執......
  • 所屬分類:漏洞公告 更新時間:2020-01-19 相關標簽: 閱讀全文...
  • Redis未授權訪問漏洞復現
  • 漏洞復現 攻擊機 kali ip:192.168.70.140 靶機 Ubuntu 16.04 ip:192.168.70.133 一、環境搭建 1、下載安裝redis wgethttp://download.redis.io/releases/redis-3.2.11.tar.gz 2、 解壓壓縮包 tarzx......
  • 所屬分類:漏洞公告 更新時間:2020-01-19 相關標簽: 閱讀全文...
  • CVE-2019-19470:TinyWall防火墻本地提權漏洞分析
  • 在本文中,我們介紹了TinyWall在2.1.13版本前存在的一個本地提權漏洞,本地用戶可以借助該漏洞提升至SYSTEM權限。除了命名管道(Named Pipe)通信中存在的.NET反序列化漏洞之外,我們也介紹了一個認證繞過缺陷。 ......
  • 所屬分類:漏洞公告 更新時間:2020-01-19 相關標簽: 閱讀全文...
  • 利用簡單暴力枚舉繞過目標系統2FA驗證機制
  • 今天分享的這篇Writeup是作者在參與漏洞眾測中,針對目標系統的動態口令OTP (One Time Password),通過利用簡單的暴力枚舉方法,實現了對目標系統雙因素驗證機制2FA (Two-Factor Authentication)的繞過或破解。目標系......
  • 所屬分類:漏洞公告 更新時間:2019-12-10 相關標簽: 閱讀全文...
  • OpenBSD多個嚴重認證繞過漏洞
  • OpenBSD是內置安全的開源操作系統。近期Qualys安全研究人員在OpenBSD中發現了多個高危安全漏洞,CVE編號為CVE-2019-19521,CVE-2019-19520,CVE-2019-19522,CVE-2019-19519。這4個漏洞分別是認證繞過和本地權限提升......
  • 所屬分類:漏洞公告 更新時間:2019-12-08 相關標簽: 閱讀全文...
  • CVE-2019-14899:探測并劫持VPN隧道TCP連接
  • 最近我們發現了Linux、FreeBSD、OpenBSD、MacOS、iOS以及Android中的一個漏洞,惡意訪問點(access point,ap)或者鄰近用戶可以利用該漏洞判斷相連用戶是否在使用VPN鏈路、推測其他用戶正在訪問的站點、確定正在使用......
  • 所屬分類:漏洞公告 更新時間:2019-12-08 相關標簽: 閱讀全文...
  • CVE-2019-14899:探測并劫持VPN隧道TCP連接
  • 最近我們發現了Linux、FreeBSD、OpenBSD、MacOS、iOS以及Android中的一個漏洞,惡意訪問點(access point,ap)或者鄰近用戶可以利用該漏洞判斷相連用戶是否在使用VPN鏈路、推測其他用戶正在訪問的站點、確定正在使用......
  • 所屬分類:漏洞公告 更新時間:2019-12-06 相關標簽: 閱讀全文...
  • 跟小黑學漏洞利用開發之SEH+Egghunter
  • 本篇緩沖區漏洞利用開發計劃在egghunter之后發出,但是由于各種原因耽誤了。本篇我們將不再依賴于mona插件幫助我們尋找可使用地址,只是希望大家理解——工具永遠只是輔助,技術才是本質的道理。 同時本篇......
  • 所屬分類:漏洞公告 更新時間:2019-12-05 相關標簽: 閱讀全文...
  • CVE-2019-13322 :Mi6瀏覽器RCE漏洞
  • 在Pwn2own 2018上, F-Secure Labs研究人員證明了當用小米Mi6瀏覽器連接到攻擊者控制的web頁面后,小米Mi6瀏覽器會被攻擊。 具體步驟如下: · 用戶選擇web頁面、SMS消息或郵件中上的一個鏈接,鏈接回在小米......
  • 所屬分類:漏洞公告 更新時間:2019-12-04 相關標簽: 閱讀全文...
  • 可重復的模擬攻擊技術在漏洞管理領域的應用
  • 0x00、攻擊模擬技術介紹 一個組織保護自己免受網絡攻擊的最佳方法是像黑客一樣思考和行動。有一種稱為“突破與攻擊模擬(BAS)”的新技術可以將您放在他們的位置。該技術允許任何組織成為他們自己的黑客,并對自己發......
  • 所屬分類:漏洞公告 更新時間:2019-12-04 相關標簽: 閱讀全文...
  • K7 Secrity防病毒軟件本地提權漏洞(CVE-2019-16897)分析
  • 本文將以作者在K7 Security防病毒軟件中發現的漏洞為例,簡要討論對這些安全產品進行漏洞研究的方法。 目標選擇 俗話說,越危險的地方往往越安全,讓網絡攻擊者們絞盡腦汁的安全產品在部分人眼里也能成為拿來利用的......
  • 所屬分類:漏洞公告 更新時間:2019-12-04 相關標簽: 閱讀全文...
  • 這個D-Link不愿修復的高危漏洞,影響面被嚴重低估了!
  • 隨著網絡空間的規模和行動不斷擴大,其與日常生活日益交織。往往在網絡空間一起微小的安全事件可能帶來一連串“蝴蝶效應”,譬如去年全球最大的半導體代工制造商臺積電工廠意外“中毒”,造成工廠停工不說還連累了要......
  • 所屬分類:漏洞公告 更新時間:2019-12-04 相關標簽: 閱讀全文...
  • StrandHogg安卓漏洞分析
  • Promon安全研究人員發現了一個危險的安卓漏洞——StrandHogg。攻擊者利用該漏洞可以將惡意軟件偽裝成合法的APP,而且用戶并不會意識到自己被攻擊了。該漏洞影響所有的安卓版本,包括最新的安卓 10,研究人......
  • 所屬分類:漏洞公告 更新時間:2019-12-04 相關標簽: 閱讀全文...
  • Apache Solr 之JMX遠程代碼漏洞分析
  • Apache Solr的8.1.1和8.2.0 linux版本的自帶配置文件solr.in.sh中存在ENABLE_REMOTE_JMX_OPTS=”true”選項,并且默認開啟,導致apache solr會在默認端口18983端口開放JMX服務,而且不需要身份認證,導致任何可以訪問......
  • 所屬分類:漏洞公告 更新時間:2019-12-04 相關標簽: 閱讀全文...
  • 跟小黑學漏洞利用開發之16進制字符轉換
  • 又是一篇緩沖區漏洞利用的文章,本文我們將繼續使用vulnserver漏洞練習程序中—HTER指令,它與前一篇Unicode類似。LTER緩沖區轉換為Unicode,而HTER緩沖區轉換為十六進制,讓我們一起來看看發生這種轉換時發生什......
  • 所屬分類:漏洞公告 更新時間:2019-12-04 相關標簽: 閱讀全文...
  • 無題大鵝模擬游戲(Untitled Goose Game)存在代碼可執行漏洞
  • Untitled Goose Game(無題大鵝模擬、搗蛋鵝)是一款畫風簡單的第三人稱模擬類游戲,通過模擬一只大鵝去完成一些搗亂任務,是House House制作的一款農場題材搞笑游戲。經作者發現,Untitled Goose Game由于在其游戲......
  • 所屬分類:漏洞公告 更新時間:2019-12-02 相關標簽: 閱讀全文...
  • 深入分析一個Pwn2Own的優質Webkit漏洞
  • 今年的Pwn2Own比賽剛剛結束,在Pwn2Own溫哥華站的比賽中,Fluoroacetate團隊所使用的一個WebKit漏洞成功吸引了我的注意。這個漏洞是一個價值五萬五千美金的漏洞利用鏈的一部分,在這篇文章中,我將會對這個漏洞進行......
  • 所屬分類:漏洞公告 更新時間:2019-12-02 相關標簽: 閱讀全文...
  • HFish蜜罐使用心得
  • 最近搭建各種蜜罐測試,這篇文章主要分享 HFish V0.4 使用過程中的一些心得。 部署 單節點部署 單點部署官方文檔介紹已經很全面了,不過windows 家庭中文版docker部署有點坑需要注意的。 家庭版不能直接安裝do......
  • 所屬分類:漏洞公告 更新時間:2019-12-01 相關標簽: 閱讀全文...
  • CVE-2019-17671:如何查看WordPress未授權文章
  • 近期,WordPress發布了最新的v5.2.4版本,并修復了很多安全漏洞。在這篇文章中,我們將對其中的一個漏洞CVE-2019-17671進行分析。 信息收集 該漏洞由安全專家J.D.Grimes發現并上報,并且披露了如何利用該漏洞查看......
  • 所屬分類:漏洞公告 更新時間:2019-11-29 相關標簽: 閱讀全文...
  • Windows內核漏洞利用
  • 堆棧緩沖區溢出 在第一部分中,我們會從HackSysExtremeVulnerableDriver中的普通堆棧緩沖區溢出開始。 當堆棧上存在的緩沖區獲取的數據超出其存儲容量時(例如,在一個16字節緩沖區中復制20個字節,就可以是字符數......
  • 所屬分類:漏洞公告 更新時間:2019-11-28 相關標簽: 閱讀全文...
  • Apache Solr RCE 0 day漏洞
  • 2019年10月29日,有研究人員在GitHub上公布了Apache Solr RCE漏洞的PoC代碼。Solr是Apache Lucene內置的開源平臺。PoC公布之初,該漏洞沒有CVE編號也沒有來自Apache的官方確認。Tenable研究人員分析確認了Apache Sol......
  • 所屬分類:漏洞公告 更新時間:2019-11-27 相關標簽: 閱讀全文...
  • 本類最新更新
    • 本類熱門文章
      • 最新下載
        • 標簽云集
        安徽快3自由的百科 河南新快赢481走势图最近60期 电玩街机捕鱼有技巧吗 股票配资系统开发公司 黑龙江20选8走势图表 悠悠李逵劈鱼游戏技巧 山西太行麻将 贵州快三口预测软件 乐淘棋牌 股票交易k线图 新516捕鱼游戏中心