Doonsec's feed

Doonsec's feedhttp://wechat.doonsec.com/MzkzMDg1MzIwNA.xmlThe latest security articles about WeChat official accountzh-CNMon, 18 Aug 2025 20:13:33 GMTPyRSS2Gen-1.1.0http://blogs.law.harvard.edu/tech/rsshttp://wechat.doonsec.com/Doonsechttp://wechat.doonsec.com/static/front/img/doonsec_bak3.pngNextCyber学习记录-CVE-2023-46604https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487845&idx=1&sn=042dec4ef8d9f556cb331dc9cef9885eApache ActiveMQ OpenWire 协议反序列化命令执行漏洞（CVE-2023-46604）OpUnderatted安全Underatted安全2025-08-18T17:25:16NextCyber学习记录-Mysql 身份认证绕过漏洞（CVE-2012-2122）https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487819&idx=1&sn=7c6f51ca8377945bf9e067080a0c214eMysql 身份认证绕过漏洞（CVE-2012-2122）当连接MariaDB/MySQL时，输入的密码会与期Underatted安全Underatted安全2025-08-16T22:36:24NextCyber学习记录—ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487812&idx=1&sn=5c6f5f82138d61c06c7a15c0f09d3dc2ThinkPHP是一款运用极广的PHP开发框架。其版本5中，由于没有正确处理控制器名，导致在网站没有开启强制路由的情况下（即默认情况下）可以执行任意方法，从而导致远程命令执行漏洞。Underatted安全Underatted安全2025-08-15T22:37:35NextCyber学习记录—Linux网络配置https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487799&idx=1&sn=58d568ade64ade0841d9d7fd85719a1f网络配置作为渗透测试人员，掌握Linux系统的网络配置与管理是核心技能之一。这使我们能够高效搭建测试环境、操控网络流量并识别/利用漏洞。Underatted安全Underatted安全2025-08-14T22:40:07NextCyber学习记录—Apache Druid 代码执行漏洞复现https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487777&idx=1&sn=7f7c589abd1db04e89f110454e1c034eApache Druid 代码执行漏洞（CVE-2021-25646）Apache Druid包括执行嵌入在各Underatted安全Underatted安全2025-08-13T17:16:24NextCyber学习记录—kioptrix-4https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487757&idx=1&sn=c0ffbde473b22c54f2f24ff4d7d463d8Underatted安全Underatted安全2025-08-10T21:47:12NextCyber学习记录—CVE-2021-43008复现https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487716&idx=1&sn=43565d7d586e37067ef3ae3d1febe2faUnderatted安全Underatted安全2025-08-09T20:15:40NextCyber学习记录—CVE-2021-21311复现https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487680&idx=1&sn=4f22aa55943349ed5855123153cb92ecAdminer是一个PHP编写的开源数据库管理工具，在其4.0.0到4.7.9版本之间，连接 ElasticSearch 和 ClickHouse 数据库时存在一处服务端请求伪造漏洞（SSRF）Underatted安全Underatted安全2025-08-08T23:20:26NextCyber学习记录—渗透靶场2https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487662&idx=1&sn=07182929537a8a21ee149a39a4ed08ad1.通过SSH连接到用户为\\x26quot;xiaoming\\x26quot;，密码为\\x26quot;password\\x26quot;使用提供的凭据通过 SSH 连接到靶Underatted安全Underatted安全2025-08-07T23:55:59NextCyber学习记录—渗透靶场https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487633&idx=1&sn=b00eb65176825b79950c47f2ab451733Underatted安全Underatted安全2025-08-03T22:50:52【burpsuite靶场-服务端】XXE注入漏洞https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487404&idx=1&sn=98afb1b34a5b3d5d74ec5eb6a8bf3cd4在本节中，我们将解释什么是 XML外部实体注入，描述一些常见的示例，解释如何发现和利用各种 XXE 注入，并总结如何防止 XXE 注入攻击。泷羽Sec-underatted安全泷羽Sec-underatted安全2025-02-11T15:42:09【burpsuite靶场-服务端4】命令注入漏洞https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487335&idx=1&sn=c230b1063e5abc07d7a340d33329a10e在本节中，我们将解释什么是操作系统命令注入，描述如何检测和利用漏洞，详细说明适用于不同操作系统的一些有用命令和技术，并总结如何防范操作系统命令注入。泷羽Sec-underatted安全泷羽Sec-underatted安全2025-02-03T22:38:38【burpsuite靶场-服务端3】目录遍历漏洞https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487295&idx=1&sn=1d68a219fec3a01ea84c598bf48811fe在本节中，我们将解释什么是目录遍历，描述如何进行路径遍历攻击和绕过常见防护方式，并详细说明如何防范路径遍历漏洞。泷羽Sec-underatted安全泷羽Sec-underatted安全2025-02-01T11:08:09【burpsuite靶场-服务端2】身份认证漏洞-15个实验（全）https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487259&idx=1&sn=d2c93ec1be08ddb9cef647f750e66c51身份验证是验证给定用户或客户端身份的过程。\\x0d\\x0a\\x0d\\x0a换句话说，它包括确保他们真的是他们声称的那个人。至少在某种程度上，网站会暴露给任何连接到互联网的人。因此，健壮的身份验证机制是有效 Web 安全的一个组成部分。泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-28T15:08:50burpsuite靶场 | SQL注入-18个实验（全）https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247487080&idx=1&sn=d7d39ddce40ad37d4f8d125a30d36f7f泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-24T00:23:24【工具推荐】一款渗透测试信息收集集成工具--密探 v1.19 版https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247486619&idx=1&sn=a495cb820bd0b97ffd0e75d04cfb8d5a密探借鉴FindSomeThing、SuperSearchPlus ，御剑文件扫描、dirsearch、JSFinder、fofaviewer等工具，集合了多个模块的功能泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-19T15:18:38SRC挖掘 | 某访客系统越权测试https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247486572&idx=1&sn=aa7fb0e28043f1a3b59013bfe1d9d0a2泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-15T12:47:08PotatoTool一款功能强大的网络安全综合工具支持免杀、自定义内存马、提权、扫描、一键解密、AI分析、溯源等等https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247486334&idx=1&sn=f538d24db455aad0f34937d750facd60这款工具是一款功能强大的网络安全综合工具，旨在为安全从业者、红蓝对抗人员和网络安全爱好者提供全面的网络安全解决方案。它集成了多种实用功能，包括解密、分析、扫描、溯源等，为用户提供了便捷的操作界面和丰富的功能选择。泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-11T21:21:48网安神器PotatoTool全新升级，功能更强大！https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247486293&idx=1&sn=34b52e02b58c1f1721f054e91e8a884e泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-11T20:20:11fofa发蛇年福利了！学生党快看如何在fofa申请免费教育账号！！！https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247485841&idx=1&sn=7995173415577a59dcfdecf620837db1快来领取fofa的蛇年福利和免费教育账号！！！泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-09T19:24:532024新版Burpsuite超详细功能介绍-proxy模块大改动！！！https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247485801&idx=1&sn=2c5b08b843d6b33f66c4f5e97a396579Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具，这些不同的burp工具通过协同工作，有效的分享信息，支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-08T19:28:24SRC挖掘 | 记一次后勤系统水平越权+删除用户的漏洞挖掘https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247485549&idx=1&sn=85b0d040e91aaf191926e72c3805eb49越权分为「水平越权」和「垂直越权」，在某些概念上，也包括「权限绕过」。\\x0d\\x0a\\x0d\\x0a水平越权的概念：「权限相等者互相越权」。泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-07T12:59:11oscp备考 OSCP推荐靶场——Kioptrix Level 3 SQL 注入 + sudo 提权https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247485496&idx=1&sn=6e24dde2a0f38fa18863e992d7a13259oscp备考，oscp系列——Kioptix Level 3靶场 Kioptix Level 3难度为简单靶场，主要考察\\x0d\\x0a\\x0d\\x0aWeb 安全漏洞利用，如万能密码注入、命令执行漏洞利用、lotuscms框架漏洞。泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-06T17:12:20SRC挖掘 | 记一次简单的短信轰炸漏洞挖掘https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247485318&idx=1&sn=5ff4ecf1e318bbe7445623c78984cd9f短信轰炸是指通过恶意程序或者工具，利用网站客户端或服务端漏洞，在短时间内（例如一天以内）给很多无关的手机号码发送大量的验证码短信，导致手机用户被骚扰。泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-05T13:07:54Kioptrix Level 2 简单的命令注入 + 内核提权 - OSCP 推荐靶场https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247485281&idx=1&sn=b3779dc6c020c58478544e97bad85527oscp备考，oscp系列——Kioptix Level 1靶场 Kioptix Level 2难度为简单靶场，主要考察简单的命令注入 + 内核提权。泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-04T12:52:59公益SRC | 记一次敏感信息泄露+水平越权的公益SRC挖掘https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247485132&idx=1&sn=c2b3b9f938af73f29fb6faef9c101844公益src是一个白帽子提交随机发现的漏洞的品台，我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。非常适合刚开始进行漏洞挖掘的小白进行练手。泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-03T12:37:00oscp备考 oscp系列——Kioptix Level 1靶场古老的 Apache Vulnhttps://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247485030&idx=1&sn=13b85122029e63c9ca1b2d57ec8efddb泷羽Sec-underatted安全泷羽Sec-underatted安全2025-01-02T21:56:04Linux常用命令大全：新手基础必备https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247484564&idx=1&sn=6dd46ef693d42e1ebfcfdccba47084af泷羽Sec-underatted安全泷羽Sec-underatted安全2024-11-19T16:13:22想学会 Windows基础命令+cmd编写和分析bat病毒看这篇就够了https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247483938&idx=1&sn=0ed1a83d2c825ca732b3a6c5d9d723ae泷羽Sec-underatted安全泷羽Sec-underatted安全2024-11-16T13:52:02shodan批量检测漏洞+VNChttps://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247483897&idx=1&sn=099d30f794dee4484d61d03f92bd2130泷羽Sec-underatted安全泷羽Sec-underatted安全2024-10-27T00:00:10信息收集之shodan（1）https://mp.weixin.qq.com/s?__biz=MzkzMDg1MzIwNA==&mid=2247483699&idx=1&sn=90facab5d2b1f92d51dd8442f57a09c4泷羽Sec-underatted安全泷羽Sec-underatted安全2024-10-25T23:11:07