非栈上格式化字符串漏洞利用技巧
安全知识

非栈上格式化字符串漏洞利用技巧

347791 3

关于Linux栈上格式化字符串漏洞的利用网上已经有许多讲解了,但是非栈上的格式化字符串漏洞很少有人介绍。这里主要以上周末SUCTF比赛中playfmt题目为例,详细介绍一下bss段上或堆上的格式化字符串利用技巧。

【缺陷周话】第48期:动态解析代码
安全知识

【缺陷周话】第48期:动态解析代码

350296 0

代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

缓冲区机制详解
安全知识

缓冲区机制详解

501819 3

在最近的几场比赛中,部分赛题牵扯到缓冲区的知识,之前对这块的知识还不够特别的理解,所以抽时间来总结一下。

Pitou的DGA 虚拟算法分析(一)
安全知识

Pitou的DGA 虚拟算法分析(一)

314882 0

对一种非常有趣的DGA的分析文章,该DGA使用虚拟机作为保护措施。原文较长,故分为两个部分,第一部分先介绍对虚拟的逆向分析,第二部分介绍DGA的实现。

深入理解静态链接
安全知识

深入理解静态链接

342391 0

程序经过预编译,编译和汇编直接输出目标文件(Object File).问题抛出:为什么汇编器不直接输出可执行文件而是输出一个目标文件?

Compressed Token Format渗透笔记
安全知识

Compressed Token Format渗透笔记

383202 0

本文为渗透hackthebox CTF靶机过程,本题难度等级为Insane。本次渗透学到几个比较有趣的Linux技巧,关键知识点涉及用户名爆破,ldap盲注,Stoken OTP生成,命令执行以及Wildcard提权。

卡巴斯基——2019上半年金融威胁报告
安全知识

卡巴斯基——2019上半年金融威胁报告

334758 0

为了研究针对金融行业的威胁图景,卡巴斯基研究人员分析了卡巴斯基用户遭遇的恶意活动案例。为了跟踪恶意软件的发展趋势,这些数据被与2018年的相同时期进行比较。

卡巴斯基-2019年Q2 DDoS攻击动态
安全知识

卡巴斯基-2019年Q2 DDoS攻击动态

263862 0

2019年Q2的高调DDoS攻击相比Q1要多不少,当然,在这些吸引了媒体关注的攻击活动中,大多数都与政治动机有关,而不是商业动机 – 尽管安全专家曾指出Hacktivism(与政治有关的黑客入侵)在近年来明显减少。

Exchange渗透测试总结
安全知识

Exchange渗透测试总结

654721 1

Exchange是微软出品的邮件服务器系统,凭借其强大的功能优势被应用到很多企业、学校的邮件系统搭建中。

微软CTF协议漏洞预警
安全资讯

微软CTF协议漏洞预警

143561 0

2019年8月13日,google安全研究员Tavis Ormandy发布博客披露了windows操作系统中CTF协议存在了多年的漏洞。

8月16日每日安全热点 - 欧洲央行网站黑客入侵
安全资讯

8月16日每日安全热点 - 欧洲央行网站黑客入侵

96553 0

欧洲央行网站黑客入侵;DanaBot银行特洛伊木马从澳大利亚跳到德国寻求新的目标;蓝牙问题:第三方可以在范围内的任何蓝牙连接上强制使用一个字节的加密密钥;2019年上半年每天报告20多次数据泄露事件。

刨根问底:Windows CTF协议安全性研究
安全知识

刨根问底:Windows CTF协议安全性研究

349802 2

即便没有bug,CTF协议也可以让应用程序交换输入数据,读取彼此的内容。然而,该协议中的确存在很多bug,可以让攻击者完全控制其他大部分应用。我很好奇微软会如何改进这个协议。