从RCE到尝试docker逃逸的曲折之路
看了看solr的版本 正好之前研究过一段时间的solr的一些rce,挨个试试 在一顿操作后,啪的一下很快哈,找到一个CVE-2019-17558可以利用 0x03 命令执行
awvs 23.7破解版下载 | acunetix 23.7 cracked
当前版本: 23.7.230728157 重要的提示 请注意,从版本 23.6.230626159 开始,我们已
AI 时代领先于威胁行为者
在过去的一年里,随着人工智能的快速发展和采用,攻击的速度、规模和复杂程度都在增加。防御者才刚刚开始认识到并应用生成式人工智能的力量来改变对他们有利的网络安全平衡,并领先于对手。同时,对我们来说,了解人工智能如何在威胁行为者手中被滥用也很重要。今天,我们与 OpenAI 合作,发布了关于 AI 时代新
企业安全要点 |最常被利用的 12 个漏洞
对于威胁参与者来说,利用已知的错误和未修补的漏洞仍然是一种不屈不挠的策略。从安全绕过和凭据暴露到远程代码执行,软件漏洞仍然是网络攻击者寻求进入利润丰厚系统的方法的交易工具。 虽然在Active Directory和MOVEit文件传输应用程序中发现的新漏洞以及
团队笔记
未读
Linux终端调试大全
无数次被问道:你在终端下怎么调试更高效?或者怎么在 Vim 里调试?好吧,今天统一回答下,我从来不在 vim 里调试,因为它还不成熟。那除了命令行 GDB 裸奔以外,终端下还有没有更高效的方法?能够让我事半功倍? 当然有,选择恰当的工具和方法,让 GDB 调试效率成倍的提升并没有任何问题。当然,前提
【干货分享】攻防演练总结
申明:文章中涉及操作均已提前获得客户授权许可,敏感信息已脱敏处理。相关案例仅供信息安全从业者参考,尝试利用攻击属违法行为! 0x01 前言 近期参加了好几场攻防演练,跟着团队里的小伙伴学到了很多东西,针对这几次攻防演练进行一个总结。 大概流程:外网信息收集、打点/钓鱼/近源攻击、权限维持、提权、内网
红队攻防 | 解决HW被疯狂封IP姿势
本项目其实就是个简单的代理服务器,经过我小小的修改。加了个代理池进来。渗透、爬虫的时候很容易就会把自己ip给ban了,所以就需要ip代理池了。 ProxyPool 爬虫代理IP池 ______ ______ _
| ___ \_
团队笔记
未读
这些PyPI Python包可能会窃取你的加密钱包
威胁追踪者在 Python 包索引 (PyPI) 存储库中发现了一组包含 7 个pypi的包,这些包旨在窃取用于恢复加密货币钱包私钥的BIP39 助记词短语。 ReversingLabs 将该软件供应链攻击活动代号为 BIPClip。这些软件包在从 PyPI 中删除之前总共被下载了 7,451 次。
ired.team 红队笔记 渗透测试备忘单
ired.team简介 文章内容涉及我在受控环境中进行的渗透测试/红队实验,其中涉及各种渗透测试人员、红队和实际对手使用的工具和技术。 这是我学习事物的方式——通过实践、跟随、修补、探索、重复和做笔记。 在 ired.team,我探索了一些常见的攻击性安全技术,包括获取代码执行、代码注入、防御规避、
ChromeKatz 直接从Chrome 进程内存中转储 cookie
ChromeKatz简介 适用于 Chrome 和 Edge 的 Cookie 转储程序 CookieKatz 是一个允许操作员直接从进程内存转储 Chrome、Edge 或 Msedgewebview2 中的 cookie 的项目。基于 Chromium 的浏览器在启动时从磁盘 cookie 数据
C2 Tracker 僵尸网络 恶意软件 C2 威胁情报库
C2 Tracker简介 各种工具/恶意软件使用的IOC(IOC,威胁情报)追踪器。最初是用于C2工具,但现已发展成跟踪信息窃取者和僵尸网络。它利用 Shodan 搜索来收集 IP 地址。最新的收集始终存储在数据中;IP 地址按工具分类,并生成 all.txt文件。 该供给应每天更新。我们正在积极努
团队笔记
未读
浏览器指纹隐私保护插件 Canvas Blocker
防止HTML canvas元素生成唯一标识密钥,保护用户隐私. 即使你在隐私模式下,一样识别出你来. 那么应该如何防止这种跟踪呢? 什么是画布指纹: Canvas 指纹识别是许多用于跟踪在线用户的浏览器指纹识别技术之一,它允许网站使用 HTML5 canvas 元素而不是浏览器 cookie 或其他
团队笔记
未读
浏览器安全之WebRTC Protect插件 防止IP泄露
WebRTC简介 WebRTC (Web Real-Time Communication) 是一种用于浏览器之间实时音频、视频和数据传输的开放式标准。它允许浏览器在不需要任何浏览器插件或其他第三方软件的情况下直接进行点对点通信。 尽管 WebRTC 带来了许多便利,但它也存在一些潜在的隐私和安全问题
团队笔记
未读
常用恶意软件分析平台汇总
0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等。 0x02 恶意软件检测分析平台