CyberPanel漏洞
介绍CyberPanel 是一种基于 OpenLiteSpeed 和 LiteSpeed Web Server 构建的现代化开源主机控制面板(Hosting Control Panel)。 项目地址:https://github.com/usmannasir/cyberpanel/tree/stable Fofa:body="ProjectSend" shodan: html:"cyberpanel" CyberPanel v2.3.6 Pre-Auth Remote Code Execution影响版本v2.3.5 <= CyberPanel <=...
ProjectSend身份认证绕过漏洞(CVE-2024-11680)
CVE-2024-11680(CVSS 评分:9.8)- ProjectSend r1720之前的版本受到身份验证漏洞的影响。远程未经身份验证的攻击者可以通过向options.php发送精心设计的HTTP请求来利用此漏洞,从而实现对应用程序配置的未经授权的修改。成功利用此漏洞后,攻击者可以创建帐户、上传webshell并嵌入恶意JavaScript。 影响版本ProjectSend <=...
Palo Alto PAN-OS CVE-2024-0012 and CVE-2024-9474
CVE-2024-9474(CVSS 评分:6.9)- Palo Alto Networks PAN-OS软件中存在权限提升漏洞,允许有权访问管理Web界面的PAN-OS管理员以root权限对防火墙执行操作。 CVE-2024-0012(CVSS 评分:9.3)- Palo Alto Networks PAN-OS软件中的身份验证绕过漏洞可使未经身份验证的攻击者通过网络访问管理Web界面,从而获取PAN-OS管理员权限以执行管理操作、篡改配置或利用其他经过身份验证的特权提升漏洞。 这两个是近期爆出关于网络安全供应商Palo Alto Networks的PAN-OS防火墙管理界面的零日漏洞,目前已经被广泛利用。通过这两个漏洞可在防火墙上进行交互式命令执行和放置webshell。 watchTowr的研究人员公布了有关CVE-2024-0012和CVE-2024-9474的更多技术细节文章——Pots and Pans, AKA an SSLVPN - Palo Alto PAN-OS CVE-2024-0012 and...
ChromeCookies之v20解密
前言最近Google对Windows版Chrome中存储的Cookie的保护机制做了升级,即应用程序绑定加密。在Chrome 127中,在Windows上引入了一种新的保护措施,通过提供应用程序绑定(App-Bound)的加密方式来改进旧版Google Chrome所使用的Windows原生数据保护API(DPAPI)的加密方式,从而保护Cookie。 以下是官方的相关资料: Improving the security of Chrome cookies on Windows —— Google Security Blog Chrome app-bound encryption Service -...
利用HTTP协议分块传输绕过WAF
前言最近在实战中遇到太多Fortieth的WAF——FortiWeb。做啥都被拦,这能忍?摇人!和一个大佬沟通了下,他说用分块传输可以绕过,好的,关键词已获取,然后就去查询了相关的资料,直接实战操作,可行! 分块传输编码原理分块传输编码(Chunked transfer encoding)是超文本传输协议(HTTP)中的一种数据传输机制,允许HTTP由应用服务器发送给客户端应用( 通常是网页浏览器)的数据可以分成多个部分。分块传输编码只在HTTP协议1.1版本(HTTP/1.1)中提供。 通常情况下,HTTP的响应消息体(message body)是作为整包发送到客户端的,用头(Content-Length)来表示消息体的长度,这个长度对客户端非常重要,因为对于持久连接TCP并不会在请求完立马结束,而是可以发送多次请求/响应,客户端需要知道哪个位置才是响应消息的结束,以及后续响应的开始,因此Content-Length显得尤为重要,服务端必须精确地告诉客户端(message...
Jetbrains全家桶激活
分享!JetBrains系列全家桶激活服务器 (每日更新):https://jetbrains.asiones.com/ JetBrains License Server (FLS)互联网上有很多公开的开放Jetbrains激活服务器。利用这些服务器就可以直接激活Jetbrains的所有产品。 好处:类似于微软的KMS,不需要打补丁,直接连接FLS激活。一般大厂(授权数大于50台设备)都是用这个方法激活。 缺点:需要联网,每隔30天重新激活一次,且服务器失效后需要找个新服务器激活。 如果有需要,可通过网络空间搜索引擎自行寻找。 Fofa1header="https://account.jetbrains.com/fls-auth" Shodan1Location: https://account.jetbrains.com/fls-auth Censys1services.http.response.headers.location:...
Github+Hexo搭建个人Blog网站
本文章仅记录博主自己在使用Github+Hexo搭建个人Blog网站的整个过程和遇到问题的解决。 本博客所使用的主题为butterfly 5.0.0,如有遇到问题,请访问Butterfly官网查看详细的教程介绍。 梦想从这里启航! 准备工作申请一个Github账号安装GitGit官网下载地址: https://git-scm.com/downloads/win 安装NodeJs和npmnodejs官网下载地址:https://nodejs.org/zh-cn/download/package-manager 双击安装包,按照默认选项,一路点击Next即可,安装完成后,msi格式的安装包会自动添加环境变量。 在cmd窗口,执行node -v查看node版本。 在安装node的同时也安装了npm,执行npm -v查看npm版本。 到这就已经可以正常使用了,以下步骤是个人为了更好的管理,从而修改相关的一些环境配置,并不是必须的。 修改全局包路径下载全局包默认保存在C盘下,可通过npm root...