aliyunctf 2025 babygame bevy Engine探索与rust逆向
题目背景这道题是由bevyy引擎(rust实现)驱动的rpg游戏:flag就是左右两边输入的数字1搜索源码官方wp说可以根据特征找到源码,反正我没找到。我直接使用见闻色霸气(偷看wp)找到了:http
阅读全文WhatsApp惊现漏洞!黑客可借此执行恶意代码,Windows用户赶紧更新
近日,Meta公司向Windows用户发出紧急警告,要求他们尽快更新WhatsApp消息应用程序至最新版本,以修复一个可能导致攻击者在其设备上执行恶意代码的漏洞。这一漏洞被描述为伪造问题,编号为CVE
阅读全文CTF 逆向:基础 VM 的三大解法剖析
1VM核心原理速览vm题型简介程序大多会有自己一套循环的执行程序流大致长相为:while(i<len(opcode)): if(opcode[i]==0x00): i+=1
阅读全文《APT组织研究年鉴》发布
APT组织研究年鉴正式发布绿盟科技平行实验室联合广州大学网络空间安全学院、保密通信全国重点实验室,共同发布《APT组织研究年鉴》。年鉴基于知识图谱与智能情报分析方法,对全球620个APT组织开展系统归
阅读全文20岁黑客因参与SIM-swapping诈骗,被判赔偿1320万美元并面临数十年监禁
近日,美国司法部对一名年轻黑客Noah Michael Urban提起诉讼,因其参与了臭名昭著的Scattered Spider网络犯罪团伙,通过SIM-swapping手段实施诈骗,导致59名受害者
阅读全文Android逆向0基础入门:APK全面解析、动调与脱壳
1引言与背景Android逆向工程,作为一种深入分析Android应用程序的技术,主要目的就是通过分析应用的代码、资源和行为来理解其功能、结构和潜在的安全问题。它不仅仅是对应用进行破解或修改,更重要的
阅读全文先知安全沙龙 - 杭州站 4月19日开启!
阿里云先知灯塔系列城市安全沙龙第九场-杭州站将于4月19日在浙江大学杭州国际科创中心水博园区D01报告厅举办(导航可定位至浙江大学杭州国际科创中心水博园区1号门,入校后有活动指引牌抵达会场)。本次沙龙
阅读全文5分钟造出假护照!ChatGPT-4o暴露KYC系统致命漏洞
4月1日,波兰研究员Borys Musielak在社交媒体X上公布了一则消息,声称自己利用ChatGPT-4o,仅用5分钟就生成了一本与真实护照几乎无异的假护照。这本假护照不仅在视觉效果上以假乱真,更
阅读全文直播课时更新-系统0day安全(第7期)
直播课更新:直播课8:httpd通用中间件框架逆向分析思路及漏洞案例分析-2https://www.kanxue.com/book-140-5320.htm近些年来不论是HVV行动还是各种红蓝对抗中,
阅读全文Ghidra基于脚本的恶意软件分析
本文是对国外逆向工程师David Álvarez Pérez 所著《Ghidra Software Reverse Engineering for Beginners》第六章《Scripting Ma
阅读全文限时4折!(含章节试看)Frida 编译调试、框架学习及定制开发
Android 应用开发如火如荼,而深入了解其底层原理和掌握强大的工具,能让你在开发、测试以及安全分析等领域如虎添翼。你想了解Android应用的实现原理吗?你想掌握应用层加密数据的解密方法吗?亦或是
阅读全文PE攻击之傀儡进程与重定位
1PE注入概念PE注入目的是“偷天换日”,把“坏程序”映射到“好进程”的内存中,并最终执行“坏程序”的代码。我们把实现这个过程的工具叫做PE注入工具,它会模拟 Windows 映像加载程序的功能,实现
阅读全文CTF筹备压力大?看雪:专业CTF赛事承办平台
看雪:专业CTF赛事承办平台网络安全,关乎国家、企业与个人的核心利益。在这一领域,CTF(Capture The Flag)夺旗赛已成为培养和选拔顶尖安全人才的重要竞技舞台。一场高质量CTF赛事,不仅
阅读全文通用 Linux kernel rootkit 开发导论
「Rootkit」即「root kit」,中文直译为「根工具包」,通常指代一类具有较高权限的恶意软件,其通常以内核模块的形式存在,在网络攻防当中被用作权限维持的目的.本系列文章将对 Linux 下基于
阅读全文皇家邮政144GB数据泄露,供应商 Spectos 成“背锅侠”?
近日,英国皇家邮政集团(Royal Mail Group)遭遇了一起严重的数据泄露事件,144GB的敏感数据被黑客公开,包括客户个人信息、内部通讯记录、运营数据以及营销基础设施数据等。此次泄露事件的“
阅读全文职位更新 | “薪”动机会到
有意向者可点击文末【阅读原文】投递简历~职位更新深圳市小溪流科技有限公司职位经验/学历薪资地点安卓开发工程师3-5年/本科面议深圳Android引擎开发工程师3-5年/本科面议深圳Android RO
阅读全文Web安全入门-网络资源的访问-隧道
基于URL的网络资源访问并不灵活,在正常的逻辑下它只能访问服务端特定端口拥有的资源(由与该端口绑定的程序提供资源,不排除程序内部的错误处理导致未开放资源被访问)。比较理想的网络资源访问场景,应该是客户
阅读全文佳能打印机驱动曝高危漏洞,请及时更新
近日,微软的进攻性安全研究与工程(MORSE)团队发现佳能打印机驱动中存在一个严重的代码执行漏洞,该漏洞被标记为CVE-2025-1268,CVSS评分为9.4,属于高危漏洞。漏洞详情该漏洞是一个越界
阅读全文今日更新!系统0day安全-二进制漏洞攻防(第4期)
更新:第四章 模糊测试工具基础使用4.6 AFL拓展https://www.kanxue.com/book-193-5311.htm二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的
阅读全文PWN入门:GLibC堆请UAF
01.堆与内存在使用使用内存大致有两种常见且合规的方式,一是使用局部变量,操作局部变量一般是对栈进行操作,除非局部变量被static关键字修饰(此时位于全局变量区),栈空间是由编译器控制的,在编译时栈
阅读全文【全体注意!】事关每一位安全从业者!关于公开征求《中华人民共和国网络安全法(修正草案再次征求意见稿)》意见的通知
中华人民共和国网络安全法(修正草案再次征求意见稿)一、将第五十九条修改为:“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,可以处一万元以上五万元
阅读全文零售巨头Sam’s Club遭Clop勒索软件攻击
近日,美国零售巨头Sam’s Club(山姆会员店)被曝遭到了Clop勒索软件的攻击,目前正紧急展开调查,以确定是否存在数据泄露风险。Sam’s Club是沃尔玛旗下的仓储式会员制超市连锁品牌,在美国
阅读全文非暴力测试了12款智能门锁,结果这3款安全表现良好
还记得上面这些画面吗?无需钥匙、不必物理拆解、直接远程开锁……自2014年以来,GEEKCON/GEEKPWN历年的破解赛几乎“黑掉”了市面上所有的主流智能门锁。我们把发现的安全漏洞报告给厂商,推动了
阅读全文aliyunctf2025-beebee题目详解
pwn1 - beebee:学习eBPF的exploit通过这个题目学习下eBPF方面内容。eBPF(extended Berkeley Packet Filter),是一个基于寄存器的虚拟机,使用自
阅读全文X平台数据泄露:28亿用户信息曝光,幕后黑手竟是内部员工?
近期,全球社交平台X(原Twitter)陷入了一场空前严重的数据泄露风波,据称有高达28亿条用户个人信息被泄露,这一数字远远超出了X平台现有的约3.357亿用户规模。据爆料者ThinkingOne称,
阅读全文【2025年春季班招生】看雪安卓高研2w、3w计划,实现逆向技术飞跃
有问必答,知无不言,言无不尽,用心服务!更有职业推介服务,全方位简历指导/服务就业!1、开学大礼包现在购课,开学礼包升级3W班高研网课开学大礼包:orange pi 5 3588S 云手机套装(包含香
阅读全文CVE-2023-4427 复现
环境搭建编译debug版本,is_debug=truegit checkout 12.2.149gclient sync -Dgit apply diff.patchgn gen out/debug
阅读全文新兴黑客组织Arkana Security横空出世,美国电信巨头WOW!陷入数据泄露泥潭
近日,一个名为Arkana Security的新勒索软件组织声称成功入侵了美国电信运营商WideOpenWest(WOW!),并窃取了大量客户数据,包括两个数据库,分别包含40.3万和220万账户信息
阅读全文