14x Security Team

CentOS升级sudo版本，解决Sudo权限绕过漏洞 修复堆缓冲区溢出漏洞(CVE-2021- 3156)漏洞介绍关于 Sudo 堆缓冲区溢出漏洞(CVE-2021- 3156)的预警通知有关情报显示，sudo 存在缓冲区溢出漏洞。攻击者在取得服 务器基础权限的情况下，可以利用 sudo 基于堆的缓冲区溢出漏 洞，获得 root 权限。在 sudo 解析命令行参数的方式中发现了基 于堆的缓冲区溢出。任何本地用户(普通用户和系统用户，sudo er 和非 sudoer...

区块链技术的八大核心功能介绍 1、去中心化去中心化（Decentralization）是区块链最根本的性质，也是区块链区别于其他分布式账本的最重要因素，尽管这一点还存有争议。去中心化通常与中心化（CentralizaTIon）、分布式（Distributed）进行比较。以太坊创始人Vitalik Buterin在《去中心化的真正含义》一文中详细阐述了去中心化的概念，从网络架构、治理体制、逻辑结构三个维度进行了分析，指出区块链在网络架构和治理体制上是去中心化的，没有人...

好久没写文章了，分享一个银行XSS漏洞挖掘技巧过程PS:明年可能去XX或者XX深造深造众所周知，银行的业务系统，是很安全的，不管是接口还是其他的服务，都相对比较成熟，很难挖到有价值的漏洞今天有空写篇文章，简单分享一个银行XSS漏洞,逻辑漏洞技巧挖掘过程以前也挖过银行类的漏洞，都是有保密协议的首先我们得到的目标是一个微信公众号，在这里我们可以随便点开一个页面，获得连接，这时候我们需要发包工具进行测试推荐：fidder,很方便抓到一个地址发现是一个POST方法，token接口，意...

Shiro_exploit-master shiro反序列化漏洞利用工具https://pan.baidu.com/s/1qK__lV_YEhdNs15z_GpFLA 提取码: aguv...

邪恶土豆MS16075 EXPhttps://pan.baidu.com/s/1O2tQg9AO0aWmWeIPvXv9oQ 提取码: 8v9aNC MS16032 MS13046 LCX 下载https://pan.baidu.com/s/1xEnJbrpmEsXIe0iwPjyDDA 提取码: 6ev2...

frp配合msf木马反弹，利用ms16075拿下windows2012服务器...

安恒玄武盾也有拦截不了的漏洞--逻辑漏洞因为大部分的扫描器是无法直接扫描出逻辑漏洞，所以玄武盾自然也就无法拦截逻辑漏洞逻辑漏洞通常需要对JS框架进行分析，最终分析出逻辑的走向，才能判断如何发掘逻辑漏洞上图为一个短信发送接口这时候可以利用的逻辑可以分为很多种一种是直接正常请求去获取用户参数一种是输入错误的验证码，进行逻辑绕过一种是通过逻辑触发XSS还有一种是非正常的请求获取用户参数思路可以是很多种，前提是利用的危害是什么这时候利用response修改的包，玄武盾是根本无法拦截的...

execCommand 处理Html数据js:<script>var ue = UE.getEditor('w0'); //编辑器 function insertHtml(val) {        UE.getEditor('w0').execCommand('insertHtml', val);    }...

揭开区块链渗透测试的神秘面纱区块链技术正在改变人们的工作和生活方式。凭借无与伦比的潜力，区块链使人们能够更好地控制和管理金融交易、医疗保健和许多其他活动，这些活动需要更多的隐私和透明度。以下帮助人们了解什么是区块链渗透测试。　　2014年，全球规模最大的比特币交易所价值5亿美元的比特币被盗，此外大约有6,000万美元的以太币通过基于以太坊的分散式自治组织(DAO)重定向至匿名帐户。2017年，全球第二大比特币攻击事件发生在比特币在线交易平台Bitfinex，造成将近7200万...

玄猫安全实验室招聘渗透测试人才投递邮箱：lyon.chen@xuanmao.org（投递时邮件主题请包含投递的岗位名称，并注明来自安全客 ） 平台简介玄猫安全实验室专注于WEB安全、红蓝军攻防演练、漏洞挖掘、高级渗透测试、区块链安全等领域，团队成员来自于腾讯、阿里、360等国际顶尖安全团队，在国内网络安全领域拥有十年以上的从业经验团队。凭借卓越的技术实力和丰富的实战经验，已为数十家银行、保险、交易所、执法机关等提供基础安全建设、渗透测试、漏洞挖掘、应急响应等安全服务...