一、前言本文是基于矿工程序xmrig的改造工程,出发点在于部署矿工程序被检测发现的程度很高,原因在于使用官方版本会有明显的协议特征,文件特征等。为了规避上述特征,实现在云上环境或者其他终端部署程序而不...
[AOH 028] 1小时->极速挖掘特斯拉Roadster开源项目漏洞
一、前言下午看到新闻,特斯拉现已“完全开源”其初代 Roadster 跑车的设计和工程,并发布了所有人都可以访问的研发文件。发布了一个新的访问路径,接下来快速测试可能存在的安全问题。二、梳理端点访问路...
[AOH 026][1day]XSS全站用户?篡改厂商首页JS文件实战
想写点内心情绪化的东西,写了又删了,开始之前还是叨叨几句,本打算等双十一活动最终结果尘埃落定了,做期总结,但不出意外的话,意外就来了一句底层一致-同源就忽略,挺无奈,但尊重你们的决定,不想去改变谁的认...
[AOH 024]探索将Shell寄生于Electron程序的自动化实现
前言越来越多的桌面应用程序选择Electron框架。Electron提供了一种可以调试的方法,通常是利用Chrome的inspect功能或通过Node.js调用inspect指令等方式进行。通过阅读i...
[AOH 23]记于阿里live hacking上收获10000赏金
参加了2023年ASRC举办的白帽大会,期间在安排的房间遇到了Drea1v1师傅。初次相识,相谈甚欢。当询问我是否参加第二晚的live hacking活动时,答道那是当然,虽然我并没有做任何准备,但我...
[AOH 022]微信小程序自动化提取与扫描实践
一、前言深受阿里白帽大会depy师傅分享的议题《攻防演练中非传统web攻击面自动化利用与发现》的启发,尝试开发类似可以实现自动化提取分析的工具,于此文,分享我取得的进展。二、实践为保护知识成果,仅从自...
[AOH 020]使用ChatGPT接管twitter账户
一、前言大约5到6年前,我注册了一个用户名为@djerryz的twitter账户,当我试图访问https://twitter.com/djerryz时,可以看到该账户已被暂停:最糟糕的是,我已经忘记了...