018年1月4日,JannHorn等安全研究者披露了"Meltdown"(CVE-2017-5754)和"Spectre"(CVE-2017-5753&CVE-2017-5715)两组CPU特性漏洞。
相关漏洞利用了芯片硬件层面执行加速机制的实现缺陷实现侧信道攻击,可以间接通过CPU缓存读取系统内存数据,其直接危害是将可能造成CPU运作机制上的信息泄露,低权级的攻击者可以通过漏洞来远程泄露用户信息或本地泄露更高权级的内存信息。
笔者对此进行深入研究
相关漏洞利用了芯片硬件层面执行加速机制的实现缺陷实现侧信道攻击,可以间接通过CPU缓存读取系统内存数据,其直接危害是将可能造成CPU运作机制上的信息泄露,低权级的攻击者可以通过漏洞来远程泄露用户信息或本地泄露更高权级的内存信息。
笔者对此进行深入研究
2023/8/17 1:57:49
1.86MB
1
console页面探测&弱口令扫描、uuid页面的SSRF、CVE-2017-10271wls-wsat页面的反序列化、CVE-2018-2628反序列化等功能。
2023/8/16 3:45:38
116KB
1
K8weblogic-CVE-2018-2628-getshell渗透测试工具,内包含漏洞利用图片、ip端口连接、shell控制。
2023/7/29 12:30:41
48KB
1
ApacheDruid命令执行漏洞(CVE-2021-25646)复现学习笔记,包括四部分内容。
1.ApacheDruid命令执行漏洞(CVE-2021-25646)复现.pdf2.apache-druid-0.20.0-bin.tar.gz3.dns解析.txt4.反弹shell.txt
1.ApacheDruid命令执行漏洞(CVE-2021-25646)复现.pdf2.apache-druid-0.20.0-bin.tar.gz3.dns解析.txt4.反弹shell.txt
2023/7/23 20:06:38
307.72MB
1
主要介绍了OracleDatabaseServer'TNSListener'远程数据投毒漏洞(CVE-2012-1675的完美解决方法的相关资料,本文介绍的非常详细,具有参考借鉴价值,需要的朋友可以参考下
2023/6/29 9:04:28
67KB
1
XStream反序列化漏洞(CVE-2020-26258&26259),修复jar包xstream-1.4.15.jarXstream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。
XStream是一款开源软件,允许在BSD许可证的许可下分发。
0x01漏洞描述Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。
影响版本Xstream=1.4.15风险等级严重
XStream是一款开源软件,允许在BSD许可证的许可下分发。
0x01漏洞描述Xstream上次对CVE-2020-26217处理并不彻底,虽然通过黑名单方法阻止了远程代码执行,但是仍然可以采用类似思路实现文件删除与服务器请求伪造。
影响版本Xstream=1.4.15风险等级严重
2023/6/13 19:33:49
613KB
1
这是一款快速的CVE-2019-0708漏洞扫描工具。
目前,公共互联网上大约有900,000台机器容易受到这种漏洞的影响,这还是一个命令行工具。
您可以下载源代码并自行编译,也可以从上面的链接下载一个用于Windows或macOS的预编译二进制文件。
目前,公共互联网上大约有900,000台机器容易受到这种漏洞的影响,这还是一个命令行工具。
您可以下载源代码并自行编译,也可以从上面的链接下载一个用于Windows或macOS的预编译二进制文件。
2023/6/10 0:19:07
1.03MB
1
Oracle民间宣告了2020年1月的关键补钉法度圭表标准更新CPU(CriticalPatchUpdate),其中修复了多个存在于WebLogic中的倾向搜罗CVE-2021-199四、CVE-2021-204七、CVE-2021-206四、CVE-2021-210八、CVE-2021-207五、CVE-2021-206六、CVE-2021-206七、CVE-2021-206八、CVE-2021-206九、CVE-2021-2109
2023/5/15 2:07:31
63.97MB
1
sudo1.9.5p2版源头码编译打包的rpm装置包,已经在rhel7.二、rhel7.三、rhel7.5上装置测试,直接rpm-Uvh就可,用以处置Sudo堆溢出(CVE-2021-3156)倾向
2023/5/13 10:40:01
1.11MB
1
其中影响较大的倾向如下:1.CVE-2021-1994侵略者能够在未授权的情景下经由HTTP晤面,从而破损OracleWebLogicServer。
告成行使该倾向的侵略者能够接受WebLogicServer。
2.CVE-2021-204七、CVE-2021-206四、CVE-2021-210八、CVE-2021-2075侵略者能够在未授权的情景下经由IIOP、T3协议对于存在倾向的WebLogicServer组件举行侵略。
告成行使该倾向的侵略者能够接受WebLogicServer。
告成行使该倾向的侵略者能够接受WebLogicServer。
2.CVE-2021-204七、CVE-2021-206四、CVE-2021-210八、CVE-2021-2075侵略者能够在未授权的情景下经由IIOP、T3协议对于存在倾向的WebLogicServer组件举行侵略。
告成行使该倾向的侵略者能够接受WebLogicServer。
2023/5/9 4:43:08
126.04MB
1
在日常工作中,钉钉打卡成了我生活中不可或缺的一部分。然而,有时候这个看似简单的任务却给我带来了不少烦恼。
每天早晚,我总是得牢记打开钉钉应用,点击"工作台",再找到"考勤打卡"进行签到。有时候因为工作忙碌,会忘记打卡,导致考勤异常,影响当月的工作评价。而且,由于我使用的是苹果手机,有时候系统更新后,钉钉的某些功能会出现异常,使得打卡变得更加麻烦。
另外,我的家人使用的是安卓手机,他们也经常抱怨钉钉打卡的繁琐。尤其是对于那些不太熟悉手机操作的长辈来说,每次打卡都是一次挑战。他们总是担心自己会操作失误,导致打卡失败。
为了解决这些烦恼,我开始思考是否可以通过编写一个全自动化脚本来实现钉钉打卡。经过一段时间的摸索和学习,我终于成功编写出了一个适用于苹果和安卓系统的钉钉打卡脚本。
2024-04-09 15:03
15KB