2024年6月11日
CVE-2024-4358,将反序列化变为未经身份验证的RCE
背景说明 Progress Software的Telerik Report Server是一款功能强大的报表服务器解决方案,具备全面的报告管理功能,可帮助组织创建、部署、交付和管理报告。 Progre...
骨哥
2024年6月7日
在家用摄像头中利用 N-Day
背景介绍 今天分享国外网友@io::pewpew()针对 TP-Link Tapo C100 家用摄像头从提取固件到发现 N-day并编写完整 RCE 的漏洞利用完整过程,废话不多说,让我们开始吧。 ...
2024年6月6日
Pixel4 刷Android12+KernelSU记录
起因 买来的Pixel4 预装的系统是Android 13+KernelSU,在某次抓包时发现Frida的‘奇怪’BUG,于是考虑降回Android12+KernelSU,毕竟稳定的适配是: 安卓78...
2024年6月2日
‘黑掉’NASA:SSRF、子域接管以及XSS
几个月前,国外一名"白帽"黑客在NASA的网络世界中开启了他的挑战。正如其它大公司一样,NASA同样拥有着大量的公开服务和网页,一些网站甚至还在运行着老旧过时的应用,而这正是我们白...
2024年6月1日
2024年6月星球内容汇总
【🪐视频推荐】 Azure Health中发现 4 处漏洞,收获 203,000 美元 【🪐文章推荐】云渗透备忘录【国外/英文】 【🪐工具推荐】Tenable Core + Web Applicati...
2024年5月31日
2024年5月星球内容汇总
【🪐星球专享】 在 Azure Health Bot 中发现 4 处漏洞,收获203,000 美元奖励 【🪐星球专享】Malcat (0.9.6 – 2024) 二进制分析工具 | Win...
2024年5月29日
巧妙利用本地存储漏洞,轻松登录他人直播 App 账户
各位晚上好,今天来分享一位国外白帽小姐姐Kritika的分享,希望本文能为各位带来更多启发。 前言 首先,目标应用是一款社交直播应用,你可以使用自己的电话号码登录或注册账号。你需要输入指定的手机号码和...
2024年5月29日
空穴来’宝’:如何从一个空文件中找到登录凭据
前言 话说我们的白帽小哥某天正在通过谷歌黑客技巧 (Google Dorking) 在目标网站上寻找漏洞,无意中发现了一个包含大量目录的列表,直觉告诉他这里面必定藏有‘宝藏’!带着满腔的好奇心,白帽小...
2024年5月28日
AI黑客:使用 ChatGPT 在浏览器中挖掘 XXE
背景介绍 众所周知基于 XML 的 SVG 和 XML 本身就比较复杂,而且允许文件访问,那么同源策略 (SOP) 是否针对所有可能的 XML 和 SVG 语法正确实施?通过file://协议的访问是...
2024年5月26日
AI黑客:ChatGPT中的高级API攻击
背景介绍 许多影响最大的漏洞是无法通过 Burp Suite 的默认规则集捕获,而需要手动测试,本文就是讲述了这样一个的案例。 发现异常 与往常一样,研究人员的调查首先在 Burp Suite 中捕获...