0x01 漏洞介绍 禅道项目管理系统远程命令执行漏洞,禅道是第一款国产的开源项目管理软件,它的核心管理思想基于敏捷方法 scrum,内置了产品管理和项目管理,同时又根据国内研发现状……
K8S后渗透横向节点与持久化隐蔽方式探索
前言 通常在红蓝对抗中,我们可能会通过各种方法如弱口令、sql注入、web应用漏洞导致的RCE等方法获得服务器的权限;在当前云原生迅猛发展的时代,这台服务器很可能是一个容器,在后……
技术干货 | 甲方利用开源工具进行钓鱼演练
演练前准备工作✦ 钓鱼演练需求背景 “ 目前肉眼可见的甲方两大安全工作KPI,一类是政策合规数据合规,第二类是应对各种大型攻防演练检测。在攻防演练中大家……
Linux 应急响应的详细笔记
0x00 前言 最近发现Linux出现问题的频率越来越大,相比于前些年来说,Windows服务器出现的问题已经很少见了,一个原因是现在大多数企业意识到Linux相对于Windows来说更加安全、更……
Spring Boot Admin 代码注入漏洞 (CVE-2022-46166)
漏洞描述 近日,监测到Spring Boot发布安全公告,修复了一个存在于Spring Boot Admin中的安全漏洞,该漏洞是由于Spr…
从 XSS 到 RCE 的几个开源案例
XSS 也就是大家常说的跨站脚本攻击,利用该漏洞可以执行任意 JavaScript 脚本,RCE 也就是远程名称执行,可以执行任意系统命令。那么如何通过 XSS 漏洞升级到 RCE 漏洞呢?今天分享……
实战|由actuator/health泄露导致的RCE
作者:小乳酸,转载于公众号网络安全之旅。 0x01 前言 现在spingboot的站点越来越多,在测试spingBoot未授权时,百分之九十的人看到只有actuator/health和actuator/info时,都会视…