简介该漏洞是一个CTFd的账户接管漏洞，在注册和修改密码处，存在逻辑漏洞，从而导致可以修改任意账号密码。影响版本：v2.0.0-2.2.2漏洞分析首先定位到用户注册处：/CTFd/[email protected]('/r...

前言对于程序员们来说，一台多功能的路由器是提升生产力的有力武器。除了某些网站的加速之外，还可以在路由器上运行Frp/Ngrok、组建NAS、挂机BT下载/百度云下载等等。这些功能，在普通的家用路...

一、背景腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马，更新后的Mykings会在被感染系统安装开源远程控制木马PcShare，对受害电脑进行远程控制：可进行操作文件、服务、注册表、进程...

一 概述启明星辰ADLab实验室在近几个月内，通过威胁情报检测系统接连捕获到多起针对哥伦比亚国家的政府部门，金融、银行、保险等行业及卫生和制药机构发起的钓鱼邮件定向攻击。攻击者以“冠状病...

简要：GitLab 是一个用于仓库管理系统的开源项目，使用Git作为代码管理工具，并在此基础上搭建起来的web服务，是DevOPS持久交付中工具的首选。一漏洞编号：CVE-2020-25104影响版本号：eramba c2...

一、操作目的和应用场景Capabilities机制是在Linux内核2.2之后引入的，原理很简单，就是将之前与超级用户root（UID=0）关联的特权细分为不同的功能组，Capabilites作为线程（Linux并不真正区分...

0x00 JBOSS反序列化POC编写怎么说呢，CommonsCollections的利用就是一部反序列化漏洞腥风血雨的历史。CommonsCollections类型的POC编写：CC反射链的编写离不开四个Transformer类：ConstantTrans...

1、提交登录请求，抓包2、发给Intruder模块进行处理3、填好攻击payload，进行爆破攻击爆破失败，状态码全是302，长度都一致，说明之前单纯的思路已经不能解决问题了。仔细观察，可以发现多了一...

近日，微软接管了世界上最大的僵尸网络之一TrickBot，然后联合网络安全组织一起切断了它的后端，Trickbot僵尸网络的运营者将无法再发起新的感染攻击或激活已经植入计算机系统的勒索软件。 勒索...

本文中，作者针对同性社交应用Grindr，测试其密码重置功能，发现其服务端不当地返回了密码重置令牌resetToken，通过简单地复制该resetToken加上用户注册邮箱地址，即能以URL链接方式重置他人Gri...