文章目录 漏洞发现 漏洞复现 漏洞上报和处理进程   今天分享的是作者在众测过程中实现的一次性验证密码（OTP）绕过技巧，通过拦截修改响应中的内容即可有效绕过OTP，姿势非常简单，...

文章目录 功能介绍 PowerShell脚本 工具运行 字节码注入 生成一个反向Shell Payload 工具运行截图 项目地址   Invoker是一款功能强大的渗透测试实用工具，在该工具的帮助下，广大研究人员...

“一名黑客得到了我的助记词，在 100 秒内从我的 Metamask 钱包里偷走了价值 1200 美元的ETH。”   这是一位名叫Ty Cooper的Reddit用户。不久前，他把钱包的助记词(recovery phrase) 留在...

2020年10月1日，DHS CISA发布了SlothfulMedia恶意软件家族信息；2018年6月，研究人员基于未知家庭恶意软件样本中的字符串发，布了名为IAmTheKing家族的第一份报告。 本文主要对IAmTheKing恶意软...

文章目录 介绍 Microsoft远程桌面 找回密码 Google云端硬盘 分析 滥用 Surrogate 结论 介绍 获取凭证信息是红队的常用套路，因为这些凭证可横向移动的一把好手。网上很多用Windows进行凭据恢复...

文章目录 介绍 HP Touchpoint Analytics Open Hardware Monitor 漏洞分析 漏洞发现 DLL劫持漏洞演示 漏洞根源分析 ATI逻辑 Nvidia逻辑 漏洞利用（物理内存读取/写入） Open Hardware Monitor的...

文章目录 一、博通以107亿美元收购赛门铁克的企业安全业务 二、泰雷兹以54亿美元完成对金雅拓的收购 三、Francisco Partners和Evergreen Coast以43亿美元收购LogMeIn 四、Thoma Bravo以39亿美元...

Yaazhini是一款针对Android APK和API的免费漏洞扫描工具，这款工具提供了用户友好的操作界面，广大移动端安全研究人员可以在Yaazhini的帮助下，轻松扫描任何Android应用程序的APK文件以及API接...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。 众所周知，漏洞众测并不是一个容易入行并取得成就的领域，顶尖的白帽...

  前言 今年参加了几次攻防演练对抗赛，其它队伍依靠社工结合文件钓鱼得了不少分，自己之前并没有相关知识的积累，因此在这个方面吃了一些亏。 office宏攻击 宏是微软公司为其OFFICE软件包...