漏洞描述Apache Shiro before 1.9.1, A RegexRequestMatcher can be misconfigured to be bypassed o…
![[Meachines] [Easy] Help HelpDeskZ-SQLI+NODE.JS-GraphQL未授权访问+Kernel缩略图](https://www.4awl.net/wp-content/cache/thumbnails/2025/02/b74ad9ce78395a95b436b440e983aa-400x280-c.jpg "[Meachines] [Easy] Help HelpDeskZ-SQLI+NODE.JS-GraphQL未授权访问+Kernel缩略图")
Information GatheringIP AddressOpening Ports10.10.10.121TCP:22,80,3000$ sudo masscan -p1-6…
![[Meachines] [Easy] TwoMillion JS混淆解密+API-RCE+OverlayFS权限提升缩略图](https://www.4awl.net/wp-content/cache/thumbnails/2025/02/f52cc05bad4b6c792395ee1e121a59-400x280-c.jpg "[Meachines] [Easy] TwoMillion JS混淆解密+API-RCE+OverlayFS权限提升缩略图")
Information GatheringIP AddressOpening Ports10.10.11.221TCP:22,80$ sudo masscan -p1-65535,…
一种名为“浏览器同步劫持”(Browser Syncjacking)的新型攻击方式,展示了如何利用看似无害的Chrome扩展程序来接管受害者的设备。这种攻击方法由SquareX的安…
闲谈:最近和朋友在讨论SIEM的告警优化,大家交流过后,给我个人的感觉:分析师总会执着于对某条规则的某条具体告警进行过滤、加白、调整阈值、时间窗口,诚然以上都是规则优化的基本操作。…
社交工程攻击长期以来一直是一种有效的策略,因为它专注于利用人类的弱点。它不需要暴力破解密码,也不需要寻找未修补的软件漏洞。相反,它只是通过操纵信任、恐惧和对权威的尊重等情感,来获取…
意大利数据保护局封禁DeepSeek AI服务 意大利数据保护局(Garante)近日封禁了中国人工智能公司DeepSeek的聊天机器人服务,原因是该平台在用户数据处理方面缺乏透明…
靶机IP:10.129.166.143kali IP:10.10.16.39使用nmap进行端口扫描并保存到ports文件中nmap -sT --min-rate 10000 -p…
关于LDAPXLDAPX是一款功能强大且灵活的LDAP代理,可以帮助广大研究人员动态检查和转换其他工具生成的所有 LDAP 数据包。工具要求Golang工具安装由于该工具基于Go开…
一种名为“时间强盗”(Time Bandit)的ChatGPT越狱漏洞,允许用户在询问敏感话题的详细说明时绕过OpenAI的安全指南。这些敏感话题包括武器制造、核话题信息以及恶意软…