安全脉搏

18

文章

0

积分

0

收藏

0

关注

0

粉丝

网络攻防小组http://www.milw0rm.cn/

至今

2016-10-22
Linux

CVE-2016-5195:Linux内核通杀提权漏洞预警 

Linux内核(英语:Linux kernel),是一种计算机操作系统内核,以C语言和汇编语言写成,匹配POSIX标准,以GNU通用公共许可证发布。 ——来自于维基百科 漏洞危害: 低权限用户可以利用…

2016-3-26
无线安全

315晚会报道的无人机是怎么被劫持的? 

0x00 背景  在2015年GeekPwn的开场项目中,笔者利用一系列漏洞成功演示劫持了一架正在飞行的大疆精灵3代无人机,夺取了这台无人机的控制权,完成了可能是全球首次对大疆无人机的劫持和完整控制。…

2016-2-8
安全文献

MMD-0051-2016 – 小型ELF远程后门程序揭秘 

背景知识 2014年的9月份,在我对shellshock漏洞进行分析和研究的过程中,我对MMD-0027-2014(利用ShellShock漏洞来加载ELF payload,并对目标主机进行攻击)进行…

2016-1-16
工具

SQL盲注利用工具 – BSQLinjector 

BSQLinjector是使用Ruby语言编写的一款SQL盲注利用工具,它使用盲注方法从SQL数据库中检索数据。建议在将其发送到一个应用程序之前,使用”–test”开关来清楚地查看配置后的负载看起来是…

2016-1-15
安全文献

数据安全保护之访问控制技术 

数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。为了能够安全可控地使用数据,需要多种技术手段作为保障,这些技术手段一般包括访问控制技术、加密技术、数据备份和恢复技术、系统还原技术等多…

2016-1-4
安全文献

域安全篇:寻找SYSVOL里的密码和攻击GPP(组策略偏好) 

在2015年的黑帽大会和DEFCON上,我曾谈过黑客会如何从域用户提权到域管理。 密码的难题 每台Windows主机有一个内置的Administrator账户以及相关联的密码。大多数组织机构为了安全,…

2015-12-30
安全文献

BadBarcode条码攻击浅析 

在GEEK PWN大会上,TK为大家演示了腾讯玄武实验室最近研究的新成果—badbarcode,也就是对条码中一些安全隐患的研究。其实关于条码及二维码的安全研究由来已久,本文主要为大家介绍一下badb…

2015-12-27
安全文献

Java反序列化漏洞详解 

Java反序列化漏洞从爆出到现在快2个月了,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具。本文对于Java反序列化的漏洞简述后,并对于Java反序列化的Poc进行详…

2015-12-25
安全文献

Joomla反序列化漏洞的查漏补缺 

  2015年12月15日国内各大安全厂商都从国外站点上关注到一条关于Joomla远程代码执行漏洞的内容, 原文可以看[Joomla远程代码执行漏洞分析]。之后开启了一轮漏洞分析大战,比快,…

2015-11-13
资讯

一次利用QQ邮件未公开跨站漏洞攻击的分析 

  最近,360天眼安全实验室接到用户反馈,表示其收到如下内容的钓鱼邮件: 经过分析,确定为此邮件为利用QQ邮箱的未公开跨站漏洞实施的一次钓鱼攻击。 截止到发稿为止,QQ邮箱已经修复了这个跨…

2015-10-18
安全文献

OSSEC服务端配置客户端批量部署方案 

0x00 前言 最近也在研究ossec报警规则,还没研究的很透彻,暂时不是这篇文章的内容。ossec中文资料还是比较少,外文文献比较多。之前看到drops的两篇文章分享http://drops.woo…

2015-10-9
CTF

CTF主办方指南之对抗搅屎棍 

0x00 背景 XDCTF2015是我觉得很给力的一次CTF,题目难度适中,也没出什么乱子,圆满结束了。 向来CTF是很容易出乱子的,有时候乱子来自于自身,比如某年的XDCTF因为学校机房停电导致初赛…

2015-9-16
Web安全

ECSHOP某二次注入利用姿势研究 

最近渗透的时候遇到了ECSHOP,从网上搜了下,比较新的漏洞是安全脉搏发布的两个注入 ECSHOP最新全版本通杀注入 ECSHOP全版本通杀注射之2 看了下细节,发现两个漏洞成因是一样的,都是出在手机…

2015-9-15
数据分析

【HackPwn2015】九阳智能豆浆机破解细节分析 

九阳DJ08B-D667SG豆浆机是一款智能豆浆机,可以通过配置WIFI连入互联网,用户可以通过“九阳云家电”手机app对豆浆机进行远程控制,实现远程开启、关闭豆浆机等功能。 0x01分析工作流程 在…

2015-9-15
工控安全

工控安全入门分析 

0x00写在前面 工业4.0,物联网趋势化,工控安全实战化。安全从业保持敏感,本篇以科普角度对工控安全做入门分析,大牛绕过,不喜轻喷。 0x01专业术语 SCADA:数据采集与监视控制系统 ICS:工…