登陆 注册
  • 浅谈渗透江湖之细水柔情

    清心清心 2020-06-19

    这是 酒仙桥六号部队 的第 19 篇文章。全文共计4030个字,预计阅读时长12分钟。1前言在渗透测试的江湖里,不只有getshell后在刀光剑影的内网中拿下域控的快意恩仇,更有侧重于业务逻辑的细水柔情。业务安全需要去细腻的考虑方方面面,更偏向于逻辑漏洞的一个思路挖掘。在接到一个待测试目标站点后,不只要对常规漏洞的点去...

  • 疫情期间竟然还有这种病毒?解密古老而又神秘的宏病毒

    清心清心 2020-06-19

    这是 酒仙桥六号部队 的第 18 篇文章。全文共计3670个字,预计阅读时长10分钟。前言如果评选世界上最善良的文件,Word文档应该榜上有名。很少有人会把".doc"文件和黑客手中的杀人利器联系起来。然而,事实正好相反。上世纪90年代,就有"宏病毒"出现,病毒制造者利用word的特性,在...

  • 美国突发大面积断网故障

    Guy_PsychoGuy_Psycho 2020-06-17

    一、美国突发大面积断网故障?什么情况?中国日报消息:美国电信网络遭遇DDSO攻击 全国网络几乎瘫痪!网络 电话 短信均已无法正常使用。(至发稿时,还没有黑客组织声称对这个事件负责。)这也不是第一次出现大规则的ddos攻击,美国断网的事件。  2016全球首次大规模物联网攻击,导致美国东海岸大面积断网,严重影响当地人民生活秩序和社会稳定,这是由三位大学生所编写...

  • AWS 遭到创纪录的 2.3 Tbps DDoS 攻击:持续了 3 天

    Guy_PsychoGuy_Psycho 2020-06-15

    AWS还见到了大规模的Docker、Hadoop、Redis和SSH攻击。 AWS表示,今年2月份它遭到了创纪录的2.3 Tbps DDoS攻击,有人持续三天攻击云服务,企图使其瘫痪,所幸并未得逞。 身份不明的攻击者每秒向AWS的服务器发送2.3万亿字节的数据,数量之大委实惊人。为了让读者对此有具体的了解,其攻击规模比2018年导致GitHub宕机的1.3...

  • 是谁锁了我的“机”

    安云安云 2020-06-14

    前言锁机一直是个值得长期讨论的话题,许多安卓用户被某些特殊的应用名称或图标所吸引(如某些游戏外挂、xx神器、刷赞等),从而被诱导下载安装,授权后导致手机屏幕被锁,用户无法正常使用手机,并通过这种方式威胁用户支付一定的赎金来解锁。接下来我们通过一个示例,来聊聊锁机软件到底是通过哪些方式进入我们的生活中的。分析1. 取证样本与环境样本:被恶意修改的文件管理APK...

  • 黑客冒充SpaceX频道诈骗 两天获利价值150万美元的比特币

    №` ﹍°Y``№` ﹍°Y`` 2020-06-14

    黑客冒充马斯克的 YouTube 账号来“挖矿”了!据外媒报道,黑客劫持了三个 YouTube 频道,冒充 Elon Musk 的 SpaceX 频道进行比特币诈骗。到目前为止,这些骗局已经在两天内骗取了近 1500000 美元的比特币。这三个频道分别是:Juice TV,Right Human,MaximSakulevich 。被黑客劫持后,他们的名字就变...

  • SZhe_Scan 碎遮Web漏洞扫描器

    安云安云 2020-06-10

    特点对输入的域名或IP进行自动化信息搜集与漏洞扫描,支持添加POC进行漏洞检测,扫描结果可视化显示在web界面上使用python3编写,多线程+多进程进行资产扫描,前端使用html+css+javascript进行漏洞扫描系统的可视化,后端基于python-flask框架使用MySQL数据库进行持久化存储,Redis数据库作为消息队列和攻击载荷payload...

  • 一行代码引来的安全漏洞就让我们丢失了整个服务器的控制权

    夜翎之羽夜翎之羽 2020-06-10

    之前在某厂的某次项目开发中,项目组同学设计和实现了一个“引以为傲”,额,有点扩张,不过自认为还说得过去的 feature,结果临上线前被啪啪打脸,因为实现过程中因为一行代码(没有标题党,真的是一行代码)带来的安全漏洞让我们丢失了整个服务器控制权(测试环境)。多亏了上线之前有公司安全团队的人会对代码进行扫描,才让这个漏洞被扼杀在摇篮里。下面我们就一起来看看这个...

  • fastjson 1.2.68 反序列化漏洞 gadget 的一种挖掘思路

    CDL路飞CDL路飞 2020-06-10

    关于漏洞fastjson 的这个新漏洞在 1.2.68 及之前版本的 autotype 关闭的情况下仍然可以绕过限制反序列化,相比 1.2.47 版本的漏洞来讲这个版本的漏洞还是有一些限制的(关于 1.2.47 漏洞可以参考我的另一篇文章《Java 反序列化漏洞始末(3)— fastjson》[1]),例如 1.2.47 是可以绕过黑名单的限制的,而这个漏洞...

  • Android微信逆向--实现发朋友圈动态

    夜翎之羽夜翎之羽 2020-06-10

    0x0 前言最近一直在研究Windows逆向的东西,想着快要把Android给遗忘了。所以就想利用工作之余来研究Android相关的技术,来保持对Android热情。调用微信代码来发送朋友圈动态一直是自己想实现的东西,研究了一下,果然实现了,遂写下本文当作记录。本文主要分析发送纯文字朋友圈动态和发送图片朋友圈动态。0x1 朋友圈动态类型分析本文用到的工具如下...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.