漏洞
未读
CVE-2025-29927漏洞
漏洞介绍 Next.js是Vercel开源的一个 React 框架,Next.js 是一款基于 React 的热门 Web 应用程序框架,提供服务器端渲染、静态站点生成和集成路由系统等功能。 Next.js 14.2.25之前版本和15.2.3之前版本存在安全漏洞,该漏洞源于如果授权检查发生在中间件
网络安全
未读
SpiderX – JS前端加密自动化绕过工具
SpiderX 简介 一款利用爬虫技术实现前端JS加密自动化绕过的爆破登陆渗透测试工具。 这个工具的亮点在于通过模拟浏览器点击实现前端加密爆破。它源于我在实际场景中遇到的问题,经过多次测试,虽然仍有一些难以预料的异常情况,但整体效果还是不错的。如果你在使用过程中遇到问题,不妨根据我的思路,结合具体场
漏洞
未读
VMware ESXi新型漏洞CVE-2025-22224-22226利用链已出现在野利用
VMware ESXi 是一款虚拟化平台,广泛应用于企业数据中心及云环境,旨在提供高效、灵活的虚拟化解决方案。 近期互联网披露,ESXi 中存在三个严重漏洞(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226),涉及越界读和越界写等缺陷,攻击者可将这些漏洞链式利
网络安全
未读
enclosed 端到端加密发送文本及附件
Enclosed简介 Enclosed是一款简约的 Web 应用程序,专为发送私密且安全的笔记而设计。无论您需要共享敏感信息,还是只想以简单的方式发送加密消息,Enclosed 都提供了用户友好的界面和强大的安全功能,可确保您的数据保持机密。 Enclosed这个名字的灵感来自于将您的笔记像密封的信
网络安全
未读
ViperSoftX 伪装成破解软件
在网络安全的暗角中,恶意软件层出不穷,时刻威胁着用户的设备安全和数据隐私。ViperSoftX 便是其中一款极具威胁性的恶意软件,它以狡猾的传播方式和多样的攻击手段,给用户带来了极大的困扰。 ViperSoftX 最初被发现时,常常伪装成破解软件,悄然出现在各类种子平台上。这些种子平台,往往吸引着那
网络安全
未读
SuperCard X Android 恶意软件通过 NFC 中继攻击实现非接触式 ATM 和 PoS 欺诈
一种名为 SuperCard X 的新型 Android 恶意软件即服务(MaaS)平台浮出水面,该平台可助力实施近场通信(NFC)中继攻击,为网络犯罪分子开展欺诈性套现活动提供便利。反欺诈公司 Cleafy 的分析显示,此次攻击主要针对意大利银行机构及发卡机构的客户,企图窃取支付卡数据,且有迹象表
网络安全
未读
DarKnuclei C2基础设施识别 红队快速打点工具
DarKnuclei 简介 DarKnuclei是一款适合针对红蓝对抗的一款工具【可跨平台使用】,不仅仅可以在红队视角下的快速打点,还可以在蓝队视角下针对红队基础设施与服务进行探针扫描,DarKnuclei在针对红队基础设施进行扫描针对C2,采用强/弱特征,通过C2一些特征值去识别探针,在保证准确率
网络安全
未读
后渗透神器V1.30
工具介绍 该工具主要用于后渗透方面,包含: firefox和chromium内核浏览器,提取浏览记录、下载记录、书签、cookie、用户密码 Windows记事本和Notepad++ 保存与未保存内容提取 向日葵(支持最新版本) 获取id、密码、配置信息 ToDesk 获取id、密码、配置信息 Na
网络安全
未读
免杀shellcode加载器
工具介绍 免杀shellcode加载器,360捕获了静态特征,源码编译后会直接被静态查杀,针对其他AV依然可用,Releases会逐渐更新可用loader,使用方法不变,直到特征被完全捕获。 bypassAV效果 分离免杀shellcodeloader 20250529有效 VT 2/71
漏洞
未读
CVE-2024-49138
CVE-2024-49138简介 Windows 通用日志文件系统驱动程序特权提升漏洞。 CrowdStrike 检测到威胁行为者积极利用该漏洞。 CVE-2024-49138 POC exp下载地址 https://lp.lmboke.com/CVE-2024-49138-POC-master.z
漏洞
未读
泛微E-Cology漏洞曝光:CheckServer.jsp SQL注入危机
泛微e-cology是以移动互联下的组织社交化转型需求为导向,采用轻前端重后端的设计思路,在前端面向用户提供个性化的办公平台,后端引擎帮助企业高效整合既有的IT资源生成符合用户需求的IT应用,并能够与e-mobile、移动集成平台等双剑合璧,帮助企业通过APP、微信、钉钉等多种路径实现移动协同办公,
漏洞
未读
Java反序列化漏洞 | log4j2远程代码执行漏洞原理+漏洞复现
漏洞原理及简介 一、log4j2简介 log4j2是apache下的java应用常见的开源日志库,是一个就Java的日志记录工具。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。
漏洞
未读
AJ-Report 可视化大屏漏洞复现
AJ-Report是全开源的一个BI平台,酷炫大屏展示,能随时随地掌控业务动态,让每个决策都有数据支撑。多数据源支持,内置mysql、elasticsearch、kudu驱动,支持自定义数据集省去数据接口开发,目前已支持30+种大屏组件/图表,不会开发,照着设计稿也可以制作大屏。 漏洞复现 部署完成
网络安全
未读
【MalDev-10】免杀-3
01-syscalls 应用层API通过调用syscalls执行内核操作,成功后将结果返回给应用层API,执行某些功能可以直接调用syscalls Syscall ID:每一个系统为每一个Syscall提供一个唯一的数字(Syscall ID或者系统服务号),比如使用x64dbg打开记事本,发现Nt