360网络安全周报第158期

Github密码重置功能故障，系统日志明文存储用户密码，预计受影响的程序员数量达到2700万。

安全客 2018-05-06 09:38:50

123434次阅读

3.3亿用户密码疑泄露，Twitter出现重大安全漏洞！

漏洞

Twitter

密码泄露

据外媒VentureBeat报道，Twitter宣称发现内部密码漏洞，目前该公司已修复了这一漏洞。不过，“出于足够的谨慎，”Twitter还是敦促超过3.3亿用户考虑修改密码。

安全客 2018-05-04 17:01:22

158054次阅读

从公钥到开发：我们如何利用MS-RDP中的身份验证

在周三的补丁中，微软发布了针对CVE-2018-0886的补丁，这是Preempt发现的一个严重漏洞。此漏洞可分类为逻辑远程代码执行（RCE）漏洞，它与RSA密码术（和素数）有关，我们已经在域环境中演示了远程桌面协议（RDP）的攻击。

五千年木 2018-05-02 17:00:32

130075次阅读

PDF 文件也可被滥用于窃取 Windows 凭证

安全资讯

PDF

Check Point 公司的研究人员 Assaf Baharav 指出，恶意人员可滥用 PDF 文件，在无需任何用户交互的情况下窃取 Windows 凭证（NTLM 哈希），且仅需打开一个文件即可。

奇安信代码卫士 2018-04-30 11:08:35

81310次阅读

微软拒绝修复蓝屏死机漏洞硬件专家公布 PoC 利用码

安全资讯

蓝屏攻击

POC代码

一名罗马尼亚硬件专家在 GitHub 上发布了能在几秒内导致多数 Windows 计算机崩溃的 PoC 代码，即使计算机被锁也不例外。

奇安信代码卫士 2018-04-28 11:06:01

92742次阅读 2

勒索病毒的技术门槛是如何降低的

勒索软件

AutoIt

CryptoWire

继之前我们发现的使用PHP、Python等语言编写勒索病毒之后，近期，另一种简单易用的脚本语言——AutoIt语言也被发现用于编写一种名为CryptoWire的勒索病毒。

360安全卫士 2018-04-28 11:55:18

108601次阅读

用Apache mod_rewrite来保护你的Empire C2

技术分析

Empire C2

Apache mod_rewrite

由于红色团队(red teamers)发布了红色团队维基基础架构(Red Team Infrastructure Wiki)，圣诞节似乎更早的来到了。它首次出场于Jeff Dimmock和Steve Borosh的红色团队基础架构的演讲。在设计和保护您的基础架构时，我甚至无法研究wiki这样的无价之宝。请您阅读这篇文章，来领略我的意思。

一叶飘零 2018-04-28 14:00:30

134096次阅读

比特币底层漏洞：大多数正义与信道安全

几乎所有关于加密货币和区块链的讨论都源于中本聪的白皮书：《比特币：一种点对点的电子现金系统》Bitcoin: A Peer-to-Peer Electronic Cash System （Satoshi Nakamoto）。

微位科技 2018-04-28 15:00:48

117805次阅读 1

Windows利用技巧：利用任意文件写入漏洞实现本地权限提升

在本文中，我将介绍一种新的技术来利用Windows 10系统上更为常见的任意文件写入漏洞。

興趣使然的小胃 2018-04-28 16:05:20

219983次阅读 2

渗透测试实战-BlackMarket靶机入侵

最近一直再Down各种靶机，但是也是看靶机的名字比较酷才下载，不过后面觉得不止止是名字酷还比较难，本菜在工作之余做的，整整花了近10天时间才全部搞定，其中也踩了很多坑，不过真的还是学到不少新东西。

d3ckx1 2018-04-28 17:00:21

288219次阅读 28

2018-redhat-misc&web-writeup

刚打完广东省的省赛红帽杯，除了web3很难受，并没有顺利完成外，差不多把misc和web都ak了，可能是题目难度可能比较适中吧= =，记录了一下所有题解

一叶飘零 2018-05-02 11:03:04

355282次阅读 2

红帽杯部分Writeup(PWN,RE,Crypto)

刚结束不久的红帽杯，我们团队有幸获得了线上赛第四的成绩，对于我们来说，这成绩差强人意，其中密码学相关题目被我们全部拿下！以下是我们团队的部分writeup（pwn,re,Crypto),re的wp超级详细，感谢队里的re师傅orz.

五千年木 2018-05-02 11:58:21

220780次阅读 1

VulnHub | 渗透测试入门（二）

Web安全

渗透测试

靶场攻击

牛头犬行业最近的网站被恶意的德国牧羊犬黑客破坏。这是否意味着有更多漏洞可以利用？你为什么找不到呢？：）这篇文章将带来实战渗透测试靶场环境的深入解读。

红日安全 2018-05-02 14:26:15

356720次阅读 10

通用性业务逻辑组合拳劫持你的权限

CSRF

逻辑漏洞

权限获取

可能很多朋友点击来看见标题就觉得，这家伙在吹牛逼了我倒要看看这货能怎么吹,CSRF之登陆我的账号能有啥玩意危害？先按奈住你心中不屑的情绪，听我慢慢道来~

Vulkey_Chen 2018-05-02 15:57:25

205572次阅读 9

针对微软安全补丁漏洞（CVE-2018-1038）的分析与利用

早在今年3月份，Ulf Frisk在Windows 7和Windows Server 2008 R2中发现了一个漏洞。微软此前为缓解Meltdown漏洞而发布过一个补丁，然而该修补又无意中造成特定版本的Windows中出现一个新的漏洞，该漏洞允许任意进程访问和修改页表项（Page Table Entries）。