关注我们

  • 一次对学校AVCON系统的渗透

    一次对学校AVCON系统的渗透

    起初就是想扫下学校内网的IIS服务器,看看内网是否存在put漏洞的IIS服务器。出来一堆的结果就顺手点了下......发现目标存在任意文件下载,就把系统的shadow文件给下载了回来。http://xxxxxxx/download.acti...

    Lzers 安全文摘 2019.07.28 641688
  • 暗网交易平台丝绸之路负责人之一加里·戴维斯被判刑

    暗网交易平台丝绸之路负责人之一加里·戴维斯被判刑

    在暗网上买卖毒品,武器和其他非法商品和服务的平台丝绸之路在2013年关闭,但那些帮助运营这个臭名昭著黑市的人仍然面临着法律后果。该网站的管理人员之一,爱尔兰国民加里·戴维斯,刚刚因其职务被判处78个月的监禁。2011年至2013年期间,丝绸...

    Lzers 安全快讯 2019.07.28 644351
  • CVE-2019-11229 Gitea RCE

    CVE-2019-11229 Gitea RCE

    首话在四月十三号的时候,gitea推送了v1.7.6版本,更新日志说到修复了一个安全问题。之前都没有关注,直到这几天看到先知作者群的师傅们讨论了一下这个洞的利用手段,比较感兴趣,于是跟了一下。这个洞复现起来稍微有一点麻烦,主要是golang...

    hahajack 安全文摘 2019.07.27 583250
  • 网页端 Outlook 365 发送的邮件会泄露用户的 IP 地址

    网页端 Outlook 365 发送的邮件会泄露用户的 IP 地址

    任何使用Office 365 WebMail组件发送的邮件都可能无意中向对方共享了自己的IP地址。网页端Outlook 365会在邮件的标题中插入发送者的IP地址。虽然注入IP地址可以达到某种目的,但确实在很多用户都不知情的情况下存在隐私和...

    悠然 安全快讯 2019.07.27 592258
  • 美国公司出售武器化 BlueKeep 漏洞利用

    美国公司出售武器化 BlueKeep 漏洞利用

    美国 Immunity 已经在其7月23日发布的版本为 7.23 的 CANVAS 自动化渗透性测试中添加了一个 BlueKeep 漏洞利用程序。BlueKeep 是 Windows 远程桌面协议(RDP)服务中的远程代码执行(RCE)漏洞...

    Xdf 安全快讯 2019.07.27 628669
  • 报告显示 2019 年上半年已有超过 2300 万张信用卡信息在暗网上出售

    报告显示 2019 年上半年已有超过 2300 万张信用卡信息在暗网上出售

    据外媒Neowin报道,暗网被认为是各种非法活动的发源地,虽然当局已经作出努力旨在打击能够进行这些非法活动的市场,但还有很多工作要做。网络威胁情报组织(CTI)组织Sixgills发布的一份新报告显示,在2019年上半年,在暗网上出售了超过...

    午夜巴塞罗那 安全快讯 2019.07.27 566792
  • 反溯源-cs和msf域名上线

    反溯源-cs和msf域名上线

    前言在拿下了目标机之后,目标机在内网里面,使用用msf或者CS时,用VPS做服务器的话,会导致自己的VPS的IP泄露,很容易被溯源。最快最稳的方式当然还是找跳板,当然我这种严格遵守网络安全法的好孩子是不可能有肉鸡做跳板的。思来想去,查阅了一...

    梦幻传奇 安全文摘 2019.07.26 603617
  • JNI技术绕过rasp防护实现jsp webshell

    JNI技术绕过rasp防护实现jsp webshell

    背景笔者近日看到了这样一篇文章:那些年我们堵住的洞 – OpenRASP纪实    想到rasp这的类具是基于java、php运行期的堆栈信息进行分析,可以尝试使用jni技术进行绕过。java技术栈中...

    lego 安全文摘 2019.07.24 639623
  •  SA-CORE-2019-008 DRUPAL 访问绕过漏洞分析

    SA-CORE-2019-008 DRUPAL 访问绕过漏洞分析

    0x01 概述7 月 17 日,Drupal 官方发布 Drupal 核心安全更新公告,修复了一个访问绕过漏洞,攻击者可以在未授权的情况下发布 / 修改 / 删除文章,CVE 编号CVE-2019-6342公告地址:https://www....

    清风渡 安全文摘 2019.07.24 546958
  • 基于元数据提取的渗透测试案例

    基于元数据提取的渗透测试案例

    背景MITRE ATT&CK™测试过程元数据提取citrix通道写poc提交漏洞参考资料背景    笔者的一位朋友--就职于安客思科技公司的sunrise童鞋,早先受某SRC委托参与该集团的渗...

    清风渡 安全文摘 2019.07.24 581494