红日攻防实验室

红日攻防实验室



专注Web及移动安全[红日安全10期]

home-bg1.jpg


- 安全文章
- 安全漏洞
- 移动安全
- 代码审计

本次安全分享是总结3天以来小密圈大家分享的一些安全干货。文章整理由团队成员阿杰进行整理。感谢团队和小密圈每一位进行贡献的小伙伴。

安全动态

ThreatPost-“永恒之蓝”蠕虫传播攻击7个国家安全局: https://threatpost.com/eternalrocks-worm-spreads-seven-nsa-smb-exploits/125825/

kitploit-网络缓存欺骗攻击 : http://www.kitploit.com/2017/05/airachnid-burp-extension-burp-extension.html

XPN-apt32钓鱼软件观点 :http://cache.xiaomiquan.com/201705/d473aebd76673b4819fb9772cc325cfccfd10f560ac5223baf21e76a54ba18e5/

Randy Westergren-XSS短信:黑客短信在Verizon的消息 :https://randywestergren.com/xss-sms-hacking-text-messages-verizon-messages/

安全脉搏-DocuSign网站用户资料泄露 病毒团伙利用邮件疯狂作恶 :http://www.yilan.io/article/5921a1e05d126b1d41014bac

FreeBuf-维基解密公开CIA Vault7系列中的间谍软件Athena文档 :http://www.freebuf.com/news/135324.html

第38届IEEE隐私与安全研讨会部分议题资料 :http://www.ieee-security.org/TC/SP2017/program.html

了解lot系统网络安全 :http://blog.whitescope.io/2017/05/understanding-pacemaker-systems.html

Twitter任意账号发消息漏洞: http://www.zdnet.com/article/twitter-flaw-allowed-you-to-tweet-from-any-account/

安全技术

XiphosResearch-Joomla 3.7.0 SQL注入测试攻击 : https://github.com/XiphosResearch/exploits/tree/master/Joomblah

Nick Craver-堆栈溢出:一条漫长的路的尽头 :https://nickcraver.com/blog/2017/05/22/https-on-stack-overflow/

PentestLtd-psychoPATH隐藏式文件上传和LFI检测: https://github.com/PentestLtd/psychoPATH

Android UI攻击+视频 http://cloak-and-dagger.org/

"斗篷和匕首"攻击,上帝模式,影响所有版本的Android :http://cloak-and-dagger.org/

恶意Word文件获取系统访问权限:http://niiconsulting.com/checkmate/2017/05/getting-system-access-using-malicious-word-file/

Metasploit ms17_010测试Windows7-sp1-x64 https://astr0baby.wordpress.com/2017/05/23/bashbunny-with-metasploit-ms17_010_eternalblue-vs-windows-7-sp1-x64/

绕过限制执行任意JavaScript代码-自编Rundll32利用 https://pentestlab.blog/2017/05/23/applocker-bypass-rundll32/

七种dell注入思路 http://lallouslab.net/2017/05/15/7-dll-injection-techniques-in-the-microsoft-windows/

反射攻击工作原理https://blog.cloudflare.com/reflections-on-reflections/

oss-sec - Java 多个开源 marshalling 库中存在的对象序列化漏洞研究 http://seclists.org/oss-sec/2017/q2/307?utm_source=dlvr.it&utm_medium=twitter

Samba-CVE-2017-7494 漏洞分析 https://lists.samba.org/archive/samba-announce/2017/000406.html

invoiceplane 1.4.10文件上传/跨站点脚本 https://packetstormsecurity.com/files/142639

入门级爬虫教程 https://mp.weixin.qq.com/s/3uYV6-tTXCOOsZ9K6uD5EA

绿盟-永恒之石EternalRocks蠕虫病毒处置手册 http://blog.nsfocus.net/eternalrocks-worm-virus-handbook/

安全客-CVE-2017-0199结合powershell过杀软弹回meterpreter http://bobao.360.cn/learning/detail/3889.html

工具

WindowsExploits 脚本源码 :https://github.com/abatchy17/WindowsExploits

WinSystemHelper 工具包: https://github.com/brianwrf/WinSystemHelper

powershell工具:PsPunch https://github.com/vysec/PSPunch/blob/master/README.md

漏洞扫描器pyfiscan:本地Web应用程序漏洞扫描器 :https://github.com/fgeek/pyfiscan

开源扫描仪的工具箱:安全行业从业人员自研开源扫描器合集 :http://www.tuicool.com/articles/3mAFJnI

WordPress测试框架 Ruby开发 :https://github.com/rastating/wordpress-exploit-framework

收集分析日志工具Invoke-Phant0m http://pentestit.com/invoke-phant0m-windows-event-log-killer/

Linux内核审计工具 http://www.droidsec.org/blogs/2017/05/22/a-simple-tool-for-linux-kernel-audits.html

从序列化到Shell:利用EL注入谷歌Web工具包 http://srcincite.io/blog/2017/05/22/from-serialized-to-shell-auditing-google-web-toolkit-with-el-injection.html

KDE通杀root工具 https://github.com/stealth/plasmapulsar

打印机渗透测试工具 https://github.com/RUB-NDS/PRET

PowerShell 脚本集合,可管理 AD、SCCM、Exchange 等多种应用 http://t.cn/RarFbm8

黑白之道-Vulhub:一键搭建漏洞测试环境 http://www.yilan.io/article/5921ee175d126b1d410172f8

shanks's Blog-搭建ELK日志分析平台 http://www.tuicool.com/articles/JrEjMjv

用于无线网络和安全测试的工具书 http://seclist.us/boopsuite-a-suite-of-tools-written-in-python-for-wireless-auditing-and-security-testing.html?utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed%3A+seclist%2Ffeed+%28Security+List+Network%E2%84%A2%29

网站开发者安全检查表 https://github.com/virajkulkarni14/WebDeveloperSecurityChecklist/blob/master/README.md#database

移动安全指南 https://github.com/OWASP/owasp-mstg

小密圈加入方式如下
我正在「红日俱乐部」和朋友们讨论有趣的话题,你一起来吧?
http://t.xiaomiquan.com/JmQFmEq

 标签: none

作者  :  redBu11



关于我

about me

redBu11

联系我