thinkphp3.2.3漏洞 第2页

用docker简单搭建多层靶场(审计演练)

本文将利用docker的自身功能结合若干开源渗透测试环境，在一台虚拟机中，搭建一套简单的三层渗透测试靶场。部分操作过程可能会稍显繁琐，可维护性也不佳，不足之处希望师傅们能够给出建议，不胜感激。虚拟机配置4核CPU4G内存60G磁盘存储系统：Ubuntu22.04.01桌面版最小化安装（上述配置...

从靶场到实战:双一流高校多个高危漏洞

本文结合其它用户案例分析讲解挖掘某双一流站点的过程，包含日志泄露漏洞深入利用失败，到不弱的弱口令字典进入后台，再到最后偶遇一个貌似只在靶场遇到过的高危漏洞。信息搜集：web站点的话从域名，ip等入手范围太大了，于是决定直接从小程序入手。微信搜索学校名称，便直接可以通过公众号，小程序寻找目标。这里注意...

开源漏洞检测/利用工具POC-bomber，可用于渗透和红队快速打点

《开源精选》是我们分享Github、Gitee等开源社区中优质项目的栏目，包括技术、学习、实用与各种有趣的内容。本期推荐的是一个开源的洞检测/利用工具——POC-bomber。本项目收集互联网各种危害性大的RCE·任意文件上传·反序列化·sql注入等高危害且能够获取到服务器核心权限的...

仅需4步，使用Xray漏洞自动扫描神器(By:Kali与编程)

开源的Web漏洞自动化扫描工具，支持以下漏洞：XSS漏洞检测(key:xss)SQL注入检测(key:sqldet)命令/代码注入检测(key:cmd-injection)目录枚举(key:dirscan)路径穿越检测(key:path-traversal)XML实体注入检测...

渗透测试常用WEB安全漏洞扫描工具集合

渗透测试阶段信息收集完成后，需根据所收集的信息，扫描目标站点可能存在的漏洞，包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等，然后通过这些已知的漏洞，寻找目标站点存在攻击的入口。那么今天我们就介绍几款常用的WEB应用漏洞扫描工具。一、AWVSAcunetixWebVu...

关于BuleHero蠕虫病毒新增thinkphp5漏洞攻击方式的预警通报

近日，网络安全服务团队HSCERT检测发现：BuleHero蠕虫病毒利用thinkphp5漏洞开展变种攻击，安全风险级别为“高危”。现将事件详情通报如下：一、病毒情况BuleHero变种病毒延续以往版本利用多个漏洞（包括永恒之蓝漏洞（MS-17-010）、ApacheStruts2远程代码执行漏洞...

开源网页应用框架ThinkPHP遭黑客滥用，变身远程代码执行工具

IT之家6月9日消息，安全公司Akamai近日发布报告，声称目前有黑客滥用一款热门开源网页应用框架ThinkPHP中的远程执行代码漏洞，打造了一款名为“Dama”的恶意工具进行攻击。IT之家获悉，黑客主要利用了ThinkPHP旧版本中的“CVE-2018-20062”、“CVE-...

警惕!微信群中的病毒“陷阱”——腾讯平台如何应对

一、病毒变种的出现及危害近期，一种名为“银狐”的木马病毒最新变种现身微信群。攻击者构造财务、税务等主题的钓鱼网页，通过微信群传播该木马病毒的下载链接。用户点击钓鱼链接后，钓鱼网页会根据用户终端类型进行跳转。若用户使用手机终端访问，则会提示使用电脑终端进行访问；用户使用电脑终端访问链接后会下载文件...

网络安全自己学习路线，详细查看，推荐学习

首先咱们聊聊，学习网络安全方向通常会有哪些问题1、打基础时间太长学基础花费很长时间，光语言都有几门，有些人会倒在学习linux系统及命令的路上，更多的人会倒在学习语言上；2、知识点掌握程度不清楚对于网络安全基础内容，很多人不清楚需要学到什么程度，囫囵吞枣，导致在基础上花费太多时间；看到很多小伙伴...

信息泄露————腾讯对2018企业信息安全威胁反思

一、概述2017年6月1日《网络安全法》正式实施，从法律层面积极推进了网络安全工作，是保障网民个人信息安全的法律武器。同时对企业而言，数据资产的重要性不仅仅体现在经济层面，还要对关键信息基础设施及其重要数据担负一定的法律责任。然而在暗处总有一些人在利益的驱使下伺机而动，窃取数据，谋取私利。过去的一年...