本文共计12658字,阅读时间约需30分钟摘要2023年已经过去,全球“安全漏洞行业”继续风起云涌,出现了很多引人注目的漏洞:有的名副其实,被多个评选榜单所共同青睐;有的利用门槛极低,令用户难以防范;...
利用VPN设备漏洞入侵!新型勒索软件CACTUS攻击手法分析
近期,亚信安全应急响应中心截获了利用VPN设备已知漏洞传播的新型勒索软件CACTUS,该勒索于2023年3月首次被发现,一直保持着活跃状态。CACTUS勒索软件通过Fortinet VPN的已知漏洞进...
eCapture新版性能提升10倍,支持openssl 3.2
eCapture是什么eCapture旁观者[1]一个无需CA证书,无侵入的HTTPS/TLS明文抓包工具。可以在Linux 4.18以上版本使用,同时也支持Android arm64 5.5以上版本...
从NTAuthCertificates证书伪造到内网穿透
在最近的研究中,我发现没有特殊权限的用户能够更改NTAuthCertificates对象。对位于配置分区中的 Windows Active Directory 中的NTAuthCertificates...
MSF流量加密技术
为什么要加密 现在大部分企业在内网中都采用了流量审计服务,用来专门分析流量特征,如我们常用的msf和cs都已经被各大安全设备所标识,在用msf进行内网横向的时候很容易被检测出来。所以我们要对流量来绕过...
Commander:一款功能强大的命令与控制C2服务器框架
关于Commander Commander是一款功能强大的命令与控制C2服务器框架,在该工具的帮助下,广大红队和蓝队研究人员可以轻松部署自己的C2组件。该工具基于Python开发、Flask和SQLi...
全国网络安全行业职业技能大赛-初赛
使用openssl工具对/opt/document.txt文件进行SHA-256算法进行校验,将命令作为flag提交根据题目要求,命令为 openssl dgst -sha256 /opt/docum...
CS部署修改
配置隐蔽且OPSEC安全的C2设施OPSEC 描述了防止对手或潜在对手发现关键操作相关数据的策略。version : cs4.51.自定义CS证书首先通过 openssl 来生成密钥对,再生成一个证书...
实战 | 渗透印度棋牌游戏平台
由于这段时间失业在家,为了生计不得不接点私活。某个猎头找到我,然后简单的做了一轮面试,面试官也不懂技术,应该只是公司营销团队的。本次目标老板丢给我10个印度棋牌游戏站点,目标是拿下这些平台用户手机号和...
安卓12模拟器抓包配置
免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立...
使用Proxyman抓取Android的https请求
使用Proxyman抓取Android的https请求拦截网络请求有时,您可能需要测试您的移动应用程序并检查与其关联的所有网络请求。在网络上,此任务非常简单,只需按Ctrl + Shift + I打开...
微信H5网页动态调试方法
原创文章web安全渗透技术 原创声明:转载本文请标注出处和作者,望尊重作者劳动成果!感谢! 前言:有些微信H5页面需要在微信内置的浏览器中才能正常访问,如果请求数据加密了需要对它进行动态调试加密算法,...
15