实战攻防之Nacos漏洞
前言实战nacos漏洞复现记录一下,大佬勿喷。小白可以直接收藏下来学习一下很多poc我都直接给出来了,基本就是我的笔记。如果,有不对的可以指正一下,一起学习。nacos介绍Nacos是一个更易于构建云
阅读全文全新的Windows横向渗透工具
工具简介GoExec是一款用于在Windows上进行横向移动远程执行命令和程序的全新工具,可通过dcom、wmi、scmr、tsch等方式执行(明文 or 哈希)。GoExec实现了许多尚未实现的执行
阅读全文涉及美国、瑞典、印度,一批境外恶意网址和IP曝光
中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联
阅读全文工信部推广“二次号码焕新”服务,手机号注销后可一键解绑互联网账号
5 月 2 日消息,工信部近日通告今年第一季度电信服务质量情况,其中提到要指导基础电信企业和互联网企业联合提供“二次号码焕新”服务,可一键解绑历史互联网账号,目前已覆盖超 200 款主流互联网应用。据
阅读全文记录一次对某手游的反反调试
樣本:Y29tLndlbWFkZS5uaWdodGNyb3d最近在找工作,一家公司說要搞NP,我果斷拒絕,還有一家公司給了一道面試題,內容是分析一款外掛( 針對他們家遊戲的 )和實現一個有效的外掛功能
阅读全文Yakit插件-用于转换BurpSuite上无敌的Hae信息收集插件的配置规则为yakit使用
工具介绍Hae2Yakit用于转换 BurpSuite 平台中无敌的Hae信息收集插件的配置规则为yakit使用,减少因为插件不支持而无法脱离burp的烦恼。使用方法1 安装插件在 yakit 的插件
阅读全文IPv6 网络功能被滥用,劫持腾讯等软件更新重定向下载恶意软件
网络安全公司 ESET 昨日(4 月 30 日)发布博文,报道称黑客组织 TheWizards 利用 IPv6 网络功能,发起 " 中间人攻击 "(AitM),劫持软件更新以安装 Windows 恶意
阅读全文网络入侵新态势:凭证窃取与边界漏洞利用激增,钓鱼攻击持续衰退
根据 Verizon 和谷歌旗下 Mandiant 的独立报告数据,网络犯罪分子的初始入侵手段正在发生显著转变。Mandiant 事件响应团队指出,攻击者更倾向于利用目标环境中现有工具,而非构建新恶意
阅读全文从JDBC MySQL不出网攻击到spring临时文件利用
文章作者:先知社区(m4x)文章来源:https://xz.aliyun.com/news/178301►介绍传统攻击流程我们之前传统的攻击流程由以下几个步骤来完成1、攻击者找到可以控制目标JDBC连
阅读全文一款新的多人协作红队渗透框架
工具简介Adaptix是一个专为渗透测试人员打造的可扩展后利用和对抗模拟框架,Adaptix服务端采用Golang编写,以提供灵活的操作方式,GUI客户端采用C++ QT编写,可在Linux、Wind
阅读全文黑客组织宣称入侵TikTok,逾90万用户凭证遭泄露
自称R00TK1T的黑客组织宣称对TikTok大规模数据泄露事件负责,据称该事件导致超过90万用户的登录凭证外泄。该组织表示已公开92.7万条TikTok用户记录样本,并称这是"其系统漏洞的证明"。R
阅读全文漏洞管理中的四大常见误区及改进方案
图片来源:Shutterstock漏洞管理的新挑战现代漏洞管理已从简单的勾选框任务演变为需要实时可视化、风险优先级排序和自动化处理的系统工程。当前IT环境具有高度动态性,攻击者的进化速度与防御措施同步
阅读全文记一次爱加密企业版脱壳与反调试绕过
Frida-Dexdump脱壳用于提取DEX文件https://github.com/hluwa/frida-dexdump需要先绕过frida反调试Fart脱壳一款自动化脱壳工具https://gi
阅读全文微信小程序自动化辅助渗透工具e0e1-wx更新!V2.0
工具介绍还在一个个反编译小程序吗?还在自己一个个注入hook吗?还在一个个查看找接口、查找泄露吗?现在有自动化辅助渗透脚本了,自动化辅助反编译、自动化注入hook、自动化查看泄露注:本工具仅用于学习参
阅读全文尽快升级:苹果 AirPlay 漏洞被披露,数百万 iPhone / Mac 等设备安全告急;|既能轻松赚钱,又能享受特殊服务;
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!尽快升级:苹果 AirPlay 漏洞被披露,数百万 iPhone / Mac 等设备安全告急;4 月 30 日消
阅读全文2025年数据安全十大趋势
漏洞利用首次超过网络钓鱼,并且正在赶超凭证滥用,成为最主要的初始访问媒介。数据是企业最宝贵也最脆弱的资产,数据安全是2025年企业安全的头等大事。近日,Verizon发布的第18版《数据泄露调查报告》
阅读全文渗透测试JS接口Fuzz场景研究
作者:一天要喝八杯水原文:https://forum.butian.net/share/4163侵权请联系我删除渗透测试中当页面功能点过少无处可测,或者攻防、SRC场景下开局一个登录框尝试弱口令,爆破
阅读全文毫秒级浏览器指纹识别插件
插件简介@24师傅给发的一个他写的基于已收集指纹库进行识别网站指纹的浏览器插件,说适合手工打点,能毫秒级出指纹,我现在搞的少,分享给需要的人。插件原理基本架构插件采用Chrome扩展的标准架构,包含以
阅读全文非法爬取小红书数据牟利 一公司终审败诉被判赔490万;@小商铺老板 你的信息可能被这群“地图公司员工”出卖了
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!非法爬取小红书数据牟利 一公司终审败诉被判赔490万;2025年4月27日,近日,小红书诉厦门某网络公司非法抓取
阅读全文调查:美情报机构利用网络攻击中国大型商用密码产品提供商
公布此事件网络攻击详情,为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。2024年,国家互联网应急中心CNCERT发现处置一起美情报机构对中国大型商用密码产品提供商网络攻击事件。本报告将公布
阅读全文浅谈常见edu漏洞,逻辑漏洞,越权,接管到getshell,小白如何快速找准漏洞
文章首发:奇安信攻防社区https://forum.butian.net/share/4291之前闲来无事承接了一个高校的渗透测试,测试过程中没有什么复杂的漏洞,是一些基础的edu常见漏洞,适合基础学
阅读全文挖洞辅助神器之短信轰炸绕过插件
插件简介SMS_Bomb_Fuzzer是一个Burpsuite短信轰炸辅助绕过插件,内置多种绕过和变形方法,默认使用jdk1.8编译。插件功能本Burp Suite插件专为短信轰炸漏洞检测设计,提供自
阅读全文全链条斩断一网络水军黑手,涉案金额达2亿余元;|新型越狱攻击可突破ChatGPT、DeepSeek等主流AI服务防护
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!全链条斩断一网络水军黑手,涉案金额达2亿余元;文章转发量不够、曝光率太低、无人问津怎么办?这时,一则广告映入眼帘
阅读全文朝鲜黑客利用生成式AI获取全球远程工作岗位
朝鲜特工正在实施一项结合社会工程学与尖端技术的复杂行动,利用生成式人工智能(GenAI)工具在全球企业中获得远程技术职位。伪造数字身份渗透企业这些人员创建极具说服力的数字身份,包括伪造的资质证书和工作
阅读全文记一次域渗透实战:Entra SSO功能的滥用
Microsoft Entra 无缝单一登录(Seamless Single Sign-On)是微软推出的一种高级身份验证和访问管理功能。通过无缝单一登录,用户在受支持的企业网络环境中登录过一次后,无
阅读全文Honeypot 蜜罐系统 基于Go语言开发的分布式蜜罐系统,用于网络安全监测、攻击行为捕获与分析。
工具介绍Honeypot 蜜罐系统,基于Go语言开发的分布式蜜罐系统,用于网络安全监测、攻击行为捕获与分析。系统架构Agent(流量捕获) --> Server(服务模拟) --> LogServer
阅读全文重要考试被泄题,答案提前发放…;|警惕!恶意文件窃取公民信息,网警公布典型案例
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!重要考试被泄题,答案提前发放…;2025年4月25日,近日,上海市高级人民法院发布2024年上海法院知识产权司法
阅读全文15天被骗40余万!警惕玉石直播间套路→
先进行免费玉石鉴定,再进入直播间参与玉石投资,小额返现笔笔成功,原石加工赚上加赚……“稳赚不赔”的假象背后,是一场精心设计的投资骗局。2023年12月,一则“免费玉石鉴定”的抖音信息引起了王女士的注意
阅读全文不出网环境下的渗透测试
原文链接:https://xz.aliyun.com/news/17321本次模拟不出网环境下的渗透测试,靶机搭建了有CVE-2022-26134漏洞的confluence服务confluence服务
阅读全文提取网页敏感信息扩展插件
工具介绍雪瞳是一款用于检测和提取网页中敏感信息的Chrome浏览器扩展,可帮助用户快速获取网页中的敏感信息,并进行分析和处理。功能特点实现多种敏感信息,指纹等检测分类支持动态扫描,针对动态渲染的网页信
阅读全文