文章预览
2024-07-16 微信公众号精选安全技术文章总览 洞见网安 2024-07-16
0x1 linux后门教程 flowers-boy 2024-07-16 19:09:56
0x2 实战小程序公众号解密burp插件 珂技知识分享 2024-07-16 18:11:31
在渗透测试web/app/小程序/公众号的时候,通过各种途径解决了burp抓包的问题,还经常碰到Request/Response的body加密的情况。
0x3 网传 Nacos 0day漏洞复现 云下信安 2024-07-16 18:10:24
近期网络曝出Nacos的零日漏洞,涉及2.3.2版本,无需认证即可利用。漏洞复现过程包括下载与启动Nacos环境,使用公开的EXP进行测试,在未开启鉴权时,通过调用特定接口实现命令执行。开启鉴权后,添加Token仍能成功执行命令。EXP分析显示,利用了/nacos/v1/cs/ops/data/removal接口写入Java执行代码,再通过已知的SQL注入漏洞/nacos/v1/cs/ops/derby执行命令。修复方案建议升级至最新版本,开启鉴
………………………………