一：漏洞描述 NextChat（又名 ChatGPT-Next-Web）是用户最流行的独立 Gen AI 聊天机器人应用程序之一。用户可以通过这个程序与GPT进行交互。这是一个GitHub项目，拥有超过 63K+ 的 star 和 52K+...

Q&A 为什么我们需要白加黑这种攻击方法呢？ 答：无论是分离免杀还是捆绑上线的免杀方式早已被研究员们每天推演成千上万遍了，像CS这类主流的C2工具的yara规则早就被各大安全厂商研究透了，...

制作lnk上线技巧 思路 1.将.gif后缀图片，木马exe、xx.pdf按偏移量写入进一个gif图片中，这里合成为pic.gif 2.使用lnk链接wscript指向执行pic.gif按偏移量取出木马exe、xx.pdf先后执行。 3.钓鱼...

漏洞描述 蓝凌EIS智慧协助平台存在多处SQL注入。 蓝凌eis智慧协同平台是由深圳市微达软件有限公司开发的用于企业在知识，协同，项目管理等场景的OA系统。 影响版本 7.1.1.4—8.5.1.4 fofa语法 a...

最近开源社区好像特别流行 WAF，到处都能看到宝塔云 WAF、雷池 WAF 社区版、南墙 WAF 的各种宣传。 我也是宝塔面板的四五年的老用户了，几个月前看到宝塔出了独立的 WAF 就迅速给我的小站上了一...

漏洞描述 北京金方时代科技有限公司建站系统存在SQL注入漏洞 影响版本 全版本 fofa语法 '金方时代内容管理系统' 漏洞复现 官网：https://www.bjjfsd.com/ Poc: id[where]=1%20or%20updatexml(0,...

0x01 漏洞描述 脸爱云一脸通智慧管理平台 SystemMng 管理用户信息泄露，攻击者可利用此漏洞收集敏感信息，从而为下一步攻击做准备。 0x02 空间测绘 测绘语法 fofa: body='View/UserReserved/U...

0x01 漏洞描述 随着工业互联网的迅速发展，传统的组态软件CS架构需要安装客户端、仅支持PC机、组态开发效率低、运行效果差等已满足不了市场需求。而目前工业监控领域的Web端产品，大多定制开发...

在 PDF 文件中进行注入，如果网站没有进行必要的检查，我们就有一个存储的 XSS 漏洞。网上搜索没找到简单的XSS PDF。所以我决定实现一个 JavaScript 。此 JavaScript 将 JavaScript 代码嵌入到 ...

0x01 漏洞描述 cockpit系统assetsmanager/upload接口处存在任意文件上传漏洞。攻击者可通过该漏洞在服务端任意上传代码并获取服务器权限，进而控制整个Web服务器。 0x02 空间测绘 测绘语法： ...