2025年1月17日
$40,000!如何将路径遍历升级为RCE!
前言 本文将向各位讲一讲国外白帽 I& Orwa Atyat 如何成功将有限的路径遍历升级为 RCE 漏洞 ,从而赢得40,000 美刀赏金的故事。 在对目标进行侦察和端口扫描时,白帽小哥发现...
骨哥
公众号"骨哥说事"作者
2025年1月13日
【CVE-2024–54887】TP-Link路由器的逆向、发现与利用
漏洞挖掘 选择目标 选择 TP-Link 有两个原因:他们的固件相对容易模拟,另外就是手中刚好有一台 TP-Link TL-WR940N 路由器。 设置开发环境超出了本文的范畴,为了简单起见,建议使用...
2025年1月6日
【爱折腾系列】如何在M芯片的Mac上流畅游玩Windows游戏
背景介绍 最近几天骨哥浅尝了一下在某音的游戏直播,一直使用的是家里的PC台式机,不得不说,Windows系统的直播效果是真心不错,但是呢,有一些很不错的单机游戏,能否在Mac上玩耍呢,于是乎就有了这篇...
2025年1月6日
2024年十大数据泄露事件概览
2024年对于网络安全来说是一个动荡的年份,多起重大数据泄露事件影响了全球数百万人,虽然这些泄露事件带来了巨大的损害,但也为我们提供了学习和加强防御的机会。 以下是对2024年十大数据泄露事件的详细分...
2024年12月30日
意外发现谷歌Slides越权漏洞,获得赏金$3133.70的故事
背景介绍 某一天悠闲的午后,白帽小哥Atikqur坐在办公桌前,在 Google Slides 上准备着一场活动的演讲稿。 幻灯片准备好后,开始点击演示者视图来预览它们,由于白帽小哥想与观众进行现场问...
2024年12月23日
【优秀开源推荐】一款基于AI的PDF文档翻译神器!
前段时间有朋友问我,有没有免费的PDF翻译平台或本地化部署工具,今天被骨哥找到了!这是一款超过10K+ Star的开源项目—PDFMathTranslate 工具介绍 概述 PDFMath...
2024年12月18日
从 Wayback Machine 到 AWS 元数据:5 分钟内发现生产系统中的 SSRF
前言 wayback machine,这是一个获取隐藏 URL 的伟大工具。通过以下URL即可轻松获取 URL: https://web.archive.org/cdx/search/cdx?url=...
2024年12月11日
盲注的艺术:解锁内部秘密
关于盲注 盲注入是攻击者可以在服务器上执行系统命令而不直接看到输出结果的漏洞。 它发生在用户输入未经过适当“过滤”的情况下,允许恶意命令传递到服务器的 shell。 由于攻击者无法看到输出结果,他们只...
2024年12月11日
发现关键漏洞获得 $4,000 赏金奖励
子域枚举 本次狩猎中,分别使用了 Subfinder、Findomain 和 Assetfinder 等工具来对目标子域进行收集。 同时,为了删除重复项,可以利用 anew 工具,然后配合 httpx...