VestaCP compromised in a new supply-chain attack 挖洞经验 | 看我如何在短时间内对Shopify五万多个子域名进行劫持 免越狱虚拟定位外挂的调试小记与检测方案 如何将Phar文件包转化成图像从而绕过文件类型检测 5G规范安全性和协议漏洞分析（上篇） Linux应急响应（三）：挖矿病毒 打开JBoss的潘多拉魔盒——JBoss高危漏洞分析 漏洞预警 | Teltonika路由器存在远程命令执行漏洞（CVE-2018-17532） APT32“海莲花”近期多平台攻击活动：熟悉的手段，全新的IOC picoCTF2018 MISC全部题解 CVE-2018-3211: Java Usage Tracker Windows本地提权漏洞分析 FACEBOOK的IMAGE TRAGICK攻击 Infog - Information Gathering Tool 反混淆powershell 区块链的那些事—安全守卫者“哈希函数”的详细分析 Weblogic CVE-2018-3191分析 智能合约游戏之殇——Dice2win安全分析

RBF技术实现“双花漏洞”研究 Forging Trusts for Deception in Active Directory imR0T - Send A Message To Your Whatsapp Contact And Protect Your Text By Encrypting And Decrypting (ROT13) picoCTF2018 Writeup之General skills篇 安全运维中基线检查的自动化之ansible工具巧用 HASH函数烧脑大作战 picoCTF2018 Writeup之Web Exploitation篇 windows kernel exploit case study: MS16-098 分析与利用 Pbootcmsv1.1.9前台存在sql注入 安全运维中基线检查的自动化 利用su小偷实现低权限用户窃取root用户口令 利用时空旅行调试技术挖掘Windows GDI漏洞 （上） NETCAT使用笔记 利用python完成大学刷课（从0到完成的思路） 诡计重现—通过使用PyREbox工具分析新的RTF活动 RemoteRecon - Remote Recon And Collection ethernaut 题目Alien Codex write up node1 靶机渗透指南 一种无需用户交互捕获哈希的方法 SQLMap v1.2.10 - Automatic SQL Injection And Database Takeover Tool 技术讨论 | 四种绕过iOS SSL验证和证书固定的方法 稳住，别怕，也许你已经被社工了 C/C++中的未对齐访问：现象、原因及解决办法 简析利用调试寄存器实现内核函数的HOOK 技术讨论 | 看我如何通过邮箱获取IP定位 Vdex Extractor：从Vdex文件反编译和提取Android Dex字节码的工具 分析基于RTF恶意文档的攻击活动 typecho ssrf 分析 通过iqy文件传播FlawedAmmyy恶意软件 Magecart组织开展大规模供应链攻击 DUSTSTORM 瞄准中亚政治实体：针对Octopus恶意软件新样本的技术分析 Office Phishing 小白欢乐多——记ssctf的几道题目 CVE-2018-17182 VMA use-after-free 详解 绕过Sysmon的两种方法 负载恶意软件HawkEye的VB Inject样本分析 技术讨论 | 在Windows7上进行一次QQ账号钓鱼测试 JAVA反序列化漏洞完整过程分析与调试 CVE-2016-0799简单分析 Mousejack测试指南 用机器学习检测Android恶意代码 中国菜刀仿冒官网三百万箱子爆菊记 drozer模块的编写及模块动态加载问题研究 Rails Security (上) IORegistryIterator竞争条件漏洞分析与利用 用Nginx分流绕开Github反爬机制 狗汪汪玩转嵌入式 — KACO 电源逆变器系统 XP100U 网络暗黑世界的“域影”攻击：运营商劫持LOL等客户端海量级挂马 主机被入侵分析过程报告 Webgoat学习笔记 富文本存储型XSS的模糊测试之道 QQ模拟登录实现之四两拨千斤（基于V8引擎） 流量劫持攻击之链路劫持剖析 反编译系列教程(上) Android Bound Service攻击 PHP本地文件包含漏洞环境搭建与利用 云、管、端三重失守，大范围挂马攻击分析 Exploring SSTI in Flask/Jinja2 0ctf writeup enter link description here “爱思助手”被爆为iOS木马样本技术分析 拥有相同的起源的Android恶意软件家族——GM BOT&SlemBunk AceDeceiver成为首个可利用苹果DRM设计漏洞感染iOS设备的木马 CVE-2018-3211: Java Usage Tracker Local Elevation of Privilege on Windows XXE in IBM’s MaaS360 Platform\ Flare-on Challenge 2018 Write-up

exFAT 文件系统指南 Uber三个鸡肋漏洞的妙用 某远程代码执行漏洞影响超过70个不同的CCTV-DVR供应商的漏洞分析 “道有道”的对抗之路 BurpSuite插件开发指南之 API 上篇 反编译系列教程(中) 渗透技巧——如何巧妙利用PSR监控Windows桌面 一个支付宝木马的分析溯源之旅 Fishing for Hackers: Analysis of a Linux Server Attack http://www.mottoin.com/tech/117305.html Metaphor-A real life Stagefright exploit Android APP终极瘦身指南 APK瘦身实践 高级组合技打造“完美” 捆绑后门 java反序列化工具ysoserial分析 QQ模拟登录实现后篇 近期js敲诈者的反查杀技巧分析 渗透技巧——通过cmd上传文件的N种方法 Free Star木马分析与追溯 公网开放的plc设备——一种新型的后门 Metasploit module开发入门篇 异常中的异常——借助系统异常处理特例实现匪夷所思的漏洞利用 Hack With Chrome Extension 特殊条件数据传输 深度揭秘：伪基站短信诈骗产业传奇始末！ CVE-2016-1757简单分析 通过ELF动态装载构造ROP链 （ Return-to-dl-resolve） Remaiten-一个以路由器和IoT设备为目标的Linux bot picoCTFのpwn解析 EOS DApp 充值“假通知”漏洞简析 SSRF libcurl protocol wrappers利用分析 域渗透——Hook PasswordChangeNotify `33. return2libc学习笔记 IE安全系列之——RES Protocol XSS报警机制（前端防火墙：第二篇） Transparent Tribe行动 TFTP反射放大攻击浅析 是谁让你我如此近距离（论第三方微信营销平台的安全隐患） 利用任务调度特性检测Android模拟器 WIFI WPA1/2 Crack for Windows Windows Secondary Logon服务中的一个句柄权限泄露Bug 远控木马盗用网易官方签名 不修改加密文件名的勒索软件TeslaCrypt 4.0 Mysql报错注入原理分析(count()、rand()、group by) 溢出科普：heap overflow&溢出保护和绕过 Powershell恶意代码的N种姿势 BurpSuite插件开发指南之 API 下篇 利用反射型XSS二次注入绕过CSP form-action限制 GandCrab勒索软件的最新版本中开始引入加密和混淆功能 黑暗幽灵（DCM）木马详细分析 设备指纹简析 趣火星之支付宝、网银盗刷事件分析 \WireShark黑客发现之旅（7）—勒索邮件 XSS姿势——文件上传XSS BurpSuite在非Web应用测试中的应用 开小灶：隐藏bash历史命令的小技巧 sqlmap支持自动伪静态批量检测 你的应用是如何被替换的，App劫持病毒剖析 GitHub CSP应用的经验分享 CVE-2016-0059 IE信息泄露漏洞分析 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞 技术讨论 | 一种基于软件捆绑方式Bypass AV的思路 使用DLL注入方式绕过Windows 10勒索软件保护机制 一次入侵应急响应分析 护网杯2018-MISC-easydump 护网杯2018 easy_laravel writeup与记录 [红日安全]代码审计Day14 - 从变量覆盖到getshell 某cms两处sql注入分析 Python中从服务端模板注入到沙盒逃逸的源码探索 (一) Octopus恶意软件分析 [译] ptmalloc介绍 ReconDog v2.0 - Reconnaissance Swiss Army Knife CHIPSEC – Platform Security Assessment Framework For Firmware Hacking

【缺陷周话】第5期 ：越界访问 渗透Hacking Team过程 CVE-2016-1779技术分析及其背后的故事 Not a fair game, Dice2win公平性分析 .NET Remoting 远程代码执行漏洞探究 Use SCT to Bypass Application Whitelisting Protection 破解微软智能手环 Android应用安全开发之浅谈网页打开APP “信任“之殇――安全软件的“白名单”将放大恶意威胁 WireShark黑客发现之旅（8）—针对路由器的Linux木马 企业级无线渗透之PEAP 百脑虫之hook技术 持续升级：详细分析MuddyWater APT组织新型攻击技术 以欧洲组织为目标的基于python的恶意软件家族PWOBot 冒充最高检网络电信诈骗之追溯 Struts2方法调用远程代码执行漏洞（CVE-2016-3081）分析 内网渗透中转发工具总结 `微信双开还是微信定时炸弹？- 关于非越狱iOS上微信分身高危插件ImgNaix的分析 Fiddler的灵活使用 Git Submodule 漏洞(CVE-2018-17456)分析 CVE-2018-8495 Edge远程代码执行漏洞简要分析 针对微软活动目录（AD）的七大高级攻击技术及相应检测方法 从果粉到黑吃黑：一个论坛挂马的奇异反转 Danger-zone ：一款可将域、IP和email地址关联并可视化输出的工具 开启Wi-Fi就会泄漏身份信息，还有这种骚操作？ Struts2 漏洞exp从零分析 利用虚假浏览器更新来入侵MikroTik路由器的活动分析 详细分析Apache Struts RCE漏洞及攻击事件（CVE-2018-11776） 安卓应用程序渗透测试（十一） 移动安全自动化测试框架MobSF多个版本静态分析接口存在的任意文件写入漏洞复现与分析 无字母数字Webshell之提高篇 顺藤摸瓜，炒股交流群里的黑产陷阱 Auto-Root-Exploit - Auto Root Exploit Tool 区块链的那些事—论激励机制与激励层中的Race-To-Empty攻击 VulnHub Gemini Inc 2018护网杯easy_laravel getshell TCP会话劫持原理与测试 【推荐资源】Linux (x86) Exploit Development Series和译文 【推荐资源】Shell Scripting Cheat Sheet for Unix and Linux 【推荐资源】Gainning Remote System: Subverting The DirectX Kernel Slides DoraHacks区块链安全Hackathon 部分write up by 天枢 DiscuzX v3.4 排行页面存储型XSS漏洞 分析 https://bbs.ichunqiu.com/thread-46758-1-1.html 【推荐资源】HITB 相关资料 攻击者是如何隐藏恶意VBA 代码行为的 Maldoc: Once More It’s XOR 使用 Docker Swarm 搭建分布式爬虫集群

window应急响应 入侵排查思路 实战演练 honggfuzz漏洞挖掘技术深究系列（5）—— Intel Processor Trace 安卓手机搭建渗透环境（无需Root） 2018护网杯-web部分题解 BeEF – Browser Exploitation Framework Over Wan (Without Port Forwarding) 从远程桌面服务到获取Empire Shell Fake Flash Updates pushing Malware to Inject XMRig Cryptocurrency Miners IKEA.com本地文件包含漏洞之PDF解析的巧妙利用 渗透基础——端口转发与代理 利用帕斯卡三角和谢尔宾斯基三角的加密算法 IT Security Weekend Catch Up – October 14, 2018 Quasar - An Information Gathering Framework For Lazy Penetration Testers 2018护网杯线上赛 Writeup by 天枢 CTF中文件包含的一些技巧 攻击者是如何通过域控制器打印机服务和无约束Kerberos委派账户获取最高权限的 深入了解Minikube的远程代码执行和虚拟机逃逸漏洞（CVE-2018-1002103） Censys Subdomain Finder - Perform Subdomain Enumeration Using The Certificate Transparency Logs From Censys 通过拆分攻击实现的SSRF攻击 护网杯2018线上赛 Writeup by Whitzard 2018护网杯线上赛题解by Lilac SSD Advisory – Firefox JavaScript Type Confusion RCE