A 高级持久威胁（APT） 一种网络攻击，使用复杂的技术持续对目标政府和公司进行网络间谍活动或其他恶意活动。通常由具有丰富专业知识和大量资源的对手进行-通常与民族国家参与者相关。 这些攻击...

近期，我在做Grafana公司的安全众测，通过研究我发现综合利用重定向跳转和URL参数注入漏洞，可以在Grafana产品任意实例中实现未授权的服务端请求伪造攻击（SSRF），漏洞影响版本为3.0.1至7.0.1...

近期，我在做Grafana公司的安全众测，通过研究我发现综合利用重定向跳转和URL参数注入漏洞，可以在Grafana产品任意实例中实现未授权的服务端请求伪造攻击（SSRF），漏洞影响版本为3.0.1至7.0.1...

在上节《内网横向移动：获取域内单机密码与Hash》中，我们讲了如何在内网渗透中抓取主机的的密码和哈希值。获取了Hash，我们可以对其进行破解，破解不出来的，我们就可以利用他们通过PTH、PTT等...

高级持久威胁（APT）一种网络攻击，使用复杂的技术持续对目标政府和公司进行网络间谍活动或其他恶意活动。通常由具有丰富专业知识和大量资源的对手进行-通常与民族国家参与者相关。这些攻击往往...

近期，作者发现了Facebook安卓APP应用的一个深度链接漏洞，利用该漏洞，可以把用户手机上安装的Facebook安卓APP应用转变成后门程序（Backdoor），实现后门化。另外，利用该漏洞还可以重打包Face...

前言DNS隧道的复现一直失败，看了无数的文章，被无数同人文荼毒之后，我CS终于成功上线了。这里先吐槽一句——同人文害死人。PS：同人文 => 一篇文章被一堆人无脑转发，根本不在乎正确与否的...

2020年11月10日，微软发布补丁修复了Kerberos KDC 安全功能绕过漏洞(CVE-2020-17049，Kerberos Bronze Bit Attack)，漏洞等级为严重级别。2020年12月，国外安全厂商公开发布了该漏洞的验证脚本...

本文结合许多当下互联网存在的资料整理出了自己对RSA的一份笔记，本版只是初版，对许多东西还有待补充。本文所有的解题脚本都经过本人亲自尝试，环境都是Python3，用到的Python库是pycrypto和gm...

数字签名是公钥密码体制下解决身份认证与内容认证问题的重要密码学技术手段。为了在传统数字签名的基础上实现身份匿名或内容隐藏等隐私保护需求，群签名、环签名、盲签名等支持隐私保护的特殊数...