记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

HACK学习备用号,期待大家的关注!

#备用 2 个 #网络安全 33 个 #信息安全 2 个 2017年11月21日至2022年4月12日,“HACK学习呀”已运营有4年半的时间了,1603天,发展至今,实属不易,感谢大家的一路支持。为避免今后在写文过程中因触发铭感关键字,或再被别有用心的人恶意投诉而出现违规被封的风险,考虑再三,决定还是先弄这么一个备用号吧,以防失联……HACK学习君重在分享最新安全干货工具,Github安全专题推荐,HackerOne漏洞案例,最新twitter安全资讯,区块链安全知识和入门学习,以及安全文档分享专题。
发布时间:2022-09-26 14:47 | 阅读:32562 | 评论:0 | 标签:学习 hack

侠盗猎车 - 数字钥匙Hacking

点击上方蓝色字体,关注我们/ 汽车网络信息安全技术交流群 /添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全技术交流
发布时间:2022-08-30 06:28 | 阅读:54067 | 评论:0 | 标签:hack

在企业 EDR 环境中模拟 Phineas Phisher 发起的对 Hacking Team 的攻击

2017年意大利间谍软件公司Hacking Team被黑,之后攻击者还把该公司的400G文件放到了网上,包括内部文档、源代码和通信邮件,后来才知道,这是一个名为“Phineas Phisher”的自黑客所为,Hacking Team专门为政府和执行部门开发入侵和监控软件。经过调查,这不是随机攻击的结果,而是精心策划和有针对性的攻击。“Phineas Phisher”为了实现他的目标,专门为 SonicWall VPN 设备开发了一个零日漏洞。在这次攻击之后,攻击者在互联网上扫描了此类设备,发现开曼群岛的一家离岸银行正在使用相同的易受攻击版本。
发布时间:2022-08-18 14:19 | 阅读:57547 | 评论:0 | 标签:攻击 hack

uDork:一款功能强大的Google Hacking工具

uDork是一款功能强大的Google Hacking工具,uDork本质上来说,是一个采用Python编程语言开发的脚本工具,它可以使用高级Google搜索技术来获取目标文件或目录中的数据、搜索物联网设备,或检测目标Web应用程序的版本相关信息等等。uDork并不会对任何服务器执行攻击行为,它只会使用预定义的Dork或exploit-db.com提供的官方列表来进行搜索和查询。关于Google HackingGoogle Hacking的含义原指利用Google搜索引擎搜索信息来进行入侵的技术和行为,现指利用各种搜索引擎搜索信息来进行入侵的技术和行为。
发布时间:2022-08-15 11:41 | 阅读:45579 | 评论:0 | 标签:hack Google

关于如何Hack apis的总结

前言近日看到国外一篇挺不错的关于API的攻击文章,故消化吸收了一下,站在小白的角度结合一下案例来尝试下关于apis的攻击思路。算是拓展一下攻击面,顺便补缺补漏下吧。本文主要从API的十个风险点来展开叙说,当然不是只有这10处,像常见的注入就不在这叙说,展开能说好多。10年前,网络应用倾向于遵循一种模式,即大部分的应用在呈现给用户之前都是在服务器端生成的。任何需要的数据都是由生成用户界面的同一服务器直接从数据库中收集的。它可能看起来像这样。许多现代网络应用倾向于遵循一种不同的模式,通常被称为SPA(单页应用)。在这种模式下,通常有一个API后端,一个JavaScript用户界面和数据库。
发布时间:2022-08-12 16:52 | 阅读:86598 | 评论:0 | 标签:hack API

炽热如初 向新而生|ISC2022 HackingClub白帽峰会圆满举办!

  //  8月2日,由ISC2022互联网安全大会和HackingClub安全技术社区联合举办的ISC2022 HackingClub白帽峰会在N世界平台顺利召开。查看回放:https://isc.n.cn/?cid=iscyY054&ncode=C241P&sid=785016ISC2022 HackingClub白帽峰会再开先河,以“一场关于漏洞的进化论”为主题,从全新的“漏洞进化”视角,同监管领导、行业专家、厂商代表及百余家安全战队和广大安全研究员齐聚一堂,共同探讨网安发展二十年中的演进与变化。
发布时间:2022-08-04 22:51 | 阅读:95100 | 评论:0 | 标签:白帽 hack

ISC2022 HackingClub白帽峰会今日开始!最全议程正式公布!元宇宙集结,精彩绝伦!

#数字安全 1个 护航数字文明,开创数字安全新时代,ISC2022 HackingClub白帽峰会再开先河,以“一场关于漏洞的进化论”为主题,从全新的“漏洞进化”视角,同监管领导、行业专家、厂商代表及百余家安全战队和广大安全研究员齐聚一堂,共话网安发展二十年中的演进与变化,这里有无限的精彩分享等待被探索和交流。
发布时间:2022-08-02 01:46 | 阅读:94140 | 评论:0 | 标签:白帽 hack 元宇宙

ISC2022 HackingClub白帽峰会倒计时1天!最全议程正式公布!元宇宙集结,精彩绝伦!

护航数字文明,开创数字安全新时代,ISC2022 HackingClub白帽峰会再开先河,以“一场关于漏洞的进化论”为主题,从全新的“漏洞进化”视角,同监管领导、行业专家、厂商代表及百余家安全战队和广大安全研究员齐聚一堂,共话网安发展二十年中的演进与变化,这里有无限的精彩分享等待被探索和交流。
发布时间:2022-08-01 11:04 | 阅读:79419 | 评论:0 | 标签:白帽 hack 元宇宙

AWS: 打开任何用户均可访问的 S3 存储桶 (hackerone漏洞报告)

原文地址: https://hackerone.com/reports/1474017介绍嗨,团队,在这里我发现任何用户都可以访问Open S3存储桶漏洞细节漏洞网址:https://cdn2.omise.co/存储桶名称 :omise-cdn-2我还没有尝试过,因为它可能会删除存储桶。(有可能)攻击者可以使用以下命令删除存储桶:- $ aws s3 rb s3://<The_bucket_name> 并再次声明存储桶以接管存储桶https://cdn2.omise.co/。(S3错误配置),允许任何用户列出/读取/下载所有文件夹/文件。
发布时间:2022-07-27 01:29 | 阅读:150798 | 评论:0 | 标签:漏洞 hack

How to hack Like a ghost

看到最近有几篇文章问到关于匿名的,我这里好像有份文档好像可以帮到你们,看了一下出版时间好像是2021年的,我只看了一下目录和书名,其他都没
发布时间:2022-07-22 11:14 | 阅读:50892 | 评论:0 | 标签:hack

Hackerone员工偷卖漏洞报告截胡安全研究员

第314期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!1、Hackerone员工偷卖漏洞报告截胡安全研究员一名Hackerone员工被曝出从内部窃取白帽提交的漏洞报告,私下发给厂商,截胡了白帽的赏金。最初不少厂商都没有发现异常,但总有细心的甲方不放过任何可疑之处,有厂商突然向Hackerone报告,希望可以调查一个可疑的漏洞报告:这个漏洞之前在平台上反馈过了,又被重新提交了一次。
发布时间:2022-07-05 11:49 | 阅读:92867 | 评论:0 | 标签:漏洞 hack 安全

HackerOne员工窃取漏洞报告,向受影响客户索取钱财

编译:代码卫士HackerOne 平台的一名员工窃取了通过该平台提交的多份漏洞报告,并将报告披露给受影响客户,获得经济报酬。这名员工已经联系了约6名HackerOne 客户并“在几次漏洞披露中”获得奖励。捉拿罪魁祸首6月22日,HackerOne 平台的一名客户要求调查一起可疑的漏洞披露事件,名为 “rzlr”的人员通过平台以外的通信渠道披露了漏洞。这名客户注意到,此前已通过 HackerOne 平台提交过同样的安全问题。撞洞是指多名研究员发现并报告了同样的漏洞问题,这种情况很常见;在本案例中,真正的漏洞报告和来自威胁行动者的报告之间有很多值得仔细审查的相似之处。
发布时间:2022-07-04 19:51 | 阅读:74012 | 评论:0 | 标签:漏洞 hack

HackerOne内部员工窃取漏洞报告

编辑:左右里HackerOne是一个漏洞赏金中介平台,主要协调漏洞披露并为提交安全报告的漏洞赏金猎人提供奖励。该公司于周五表示,其一名员工窃取了通过该平台提交的漏洞报告,并将这些漏洞向受影响的客户披露,以赚取漏洞赏金。事情从6月22日说起,一位HackerOne客户注意到某位漏洞提交者的漏洞披露报告与之前通过HackerOne提交的现有披露类似,要求HackerOne调查该人的可疑漏洞披露。多位安全研究人员分别独立发现同一漏洞的这种情况时有发生,但这位客户怀疑这次并不是巧合,并提供了详细的推理。HackerOne安全团队认真对待此事,回应了这项客户请求,并立即展开了调查。
发布时间:2022-07-04 19:44 | 阅读:94147 | 评论:0 | 标签:漏洞 hack

AWS:代理服务器上的远程代码执行(hackerone漏洞报告)

原文地址:https://hackerone.com/reports/401136介绍我在用于跟踪研究人员活动的代理服务上发现了这个远程代码执行 (RCE) 漏洞。这是我进一步了解 AWS 的机会,特别是 AWS EC2 Systems Manager 与开放元数据 API 相结合的危险。出于礼貌,我在披露之前将这篇文章发送给了该组织。不幸的是,官方明确要求匿名披露,因此需要大量编辑。尽管省略了一部分细节,但我认为这篇文章仍是很有价值的。漏洞细节为了方便研究人员进行访问,某些程序的代理服务允许访问 AWS 的元数据 API。
发布时间:2022-07-04 19:31 | 阅读:95345 | 评论:0 | 标签:漏洞 远程 执行 hack 代理 远程代码执行

GoGoHack2022 干货大放送!

2022年5月27日,由北京犬安科技有限公司发起举办的“GoGoHack2022 车联网信息安全研讨会”圆满落幕。本次研讨会受到了来自各界的高度关注,有300余位观众报名参会,分别来自主机厂、Tier X供应商、政府部门、高校、研究机构、安全咨询公司、投资机构等不同领域。
发布时间:2022-07-03 13:34 | 阅读:78291 | 评论:0 | 标签:hack

Hackthebox - Paper 靶场实战

STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。信息收集nmap -sS -A -sC -sV -p- --min-rate 5000 10.10.11.143发现存活IP端口:22、80、443访问10.10.11.143:80网页,发现只是一个简单的网页。
发布时间:2022-06-30 16:40 | 阅读:52805 | 评论:0 | 标签:靶场 hack

迁移到云时要避免的 7 个常见安全陷阱--hackerone

原文通过结合h1报告详细阐述7大安全问题,为了方便读者理解还添加了本人推荐的优秀技术文章,欢迎各位批评指正。原文来自hackerone:https://www.hackerone.com/application-security/7-common-security-pitfalls-avoid-when-migrating-cloud在一项调查中,96% 的决策者正在实施云计划。将工作负载迁移到云端有很多好处:成本是云部署的主要优势之一。总部位于新西兰的云会计公司 Xero使用 AWS 服务将毛利率提高了81% 。另一个驱动因素是获得强大的机器学习技术,这有助于 NSA 决定迁移。
发布时间:2022-06-29 16:28 | 阅读:58271 | 评论:0 | 标签: hack 安全

Hacking into the worldwide Jacuzzi SmartTub network

BackgroundJacuzzi Brands is a widely recognized hot tub and spa manufacturer. There are several brands under their umbrella:Jacuzzi Hot TubsSundance SpasD1 SpasThermoSpasWhen you go to buy a hot tub,
发布时间:2022-06-23 01:38 | 阅读:82081 | 评论:0 | 标签:hack

干货 | HACK学习安全Wiki知识星球

#知识星球 1 个 #渗透测试 70 个 #网络安全 24 个 :请认真读到最后,有特别优惠券哦!星球提供哪些服务:1.技术板块分为  #安全工具#,#应急响
发布时间:2022-06-18 15:54 | 阅读:95887 | 评论:0 | 标签:学习 hack 安全

记一次对Hack the box_magic的渗透测试

发表于 收录于合集 靶机介绍:Magic有两个常见步骤,一个SQLI来绕过登录,一个webshell上传,带有双扩展名来绕过过滤。从那里,我可以获得一个shell,并在数据库中查找凭证,然后切换到user。为了获得根目录,有一个二进制文件在没有完整路径的情况下调用popen,这使它容易受到路径劫持攻击。在Beyond Root中,我将查看导致执行. PHP .png文件的Apache配置、过滤上传的PHP代码以及suid二进制文件的源代码。信息收集1.端口扫描发现存在22和80端口。2.SQL注入发现存在SQL注入万能密码进行登录。
发布时间:2022-06-14 13:02 | 阅读:73418 | 评论:0 | 标签:渗透 hack

hackerone资产获取,并接入扫描器做自动化监控

昨天突发奇想,要不找个从projectdiscovery.io往下拖 资产的脚本然后设置定时任务接入扫描器 如red+xray ,nuclei,发现新资产直接梭哈,不不就OK了吗?(有利
发布时间:2022-06-01 09:58 | 阅读:94183 | 评论:0 | 标签:扫描 自动化 自动 hack

HackMyVM-hostname

HackMyVM-hostname难度:简单链接:https://hackmyvm.eu/machines/machine.php?vm=Hostname这台靶机是上周刚刚发布的一台靶机,其中一处的提取手法对个人而言很是新颖,所以想记录一下。
发布时间:2022-05-19 10:40 | 阅读:205222 | 评论:0 | 标签:hack

hackthebox Oz靶机渗透

信息收集nmap -A -v -sC 10.10.10.96我们可以看到80、8080有一个werkzeug,查了一下是一个WSGI的工具包。好像还有个命令执行的漏洞,我们可以针对这个找脚本试
发布时间:2022-05-18 18:00 | 阅读:71371 | 评论:0 | 标签:渗透 hack 靶机

借由Hack DHS计划,美国国土安全部系统发现了122个安全漏洞

据美国国土安全部(DHS)近日透露,加入“Hack DHS”漏洞赏金项目(bug bounty program)的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞,其中27个被评估为严重漏洞。据悉,国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金。个人获得奖金的多少取决于他发现的漏洞的严重程度,每个漏洞最多可获得5,000美元的奖励。
发布时间:2022-04-25 17:14 | 阅读:150873 | 评论:0 | 标签:漏洞 hack 安全 美国

“Hack DHS”漏洞猎人在国土安全部系统中发现 122 个安全漏洞

据美国国土安全部(DHS)近日透露,加入“Hack DHS”漏洞赏金项目(bug bounty program)的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞,其中27个被评估为严重漏洞。 据悉,国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金。个人获得奖金的多少取决于他发现的漏洞的严重程度,每个漏洞最多可获得5,000美元的奖励。
发布时间:2022-04-25 16:30 | 阅读:96130 | 评论:0 | 标签:漏洞 Hack DHS 安全漏洞 hack 安全

渗透测试练习​No.78 HackMyVm System

  靶机信息 下载地址: https://hackmyvm.eu/machines/machine.php?vm=Aqua 网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx 靶场: HackMyVm.eu 靶机名称: System 难度:
发布时间:2022-04-20 02:17 | 阅读:103643 | 评论:0 | 标签:靶机练习 渗透 hack

How I hacked an ESA's experimental satellite(译文)

0x00 背景免责声明:早在两个月之前,我们就已经将文中介绍的漏洞提交给了ESA;目前,这些漏洞已经得到了修复。同时,本文发表前已经通过了ESA的评审,并允许公之于众。Hacking satellite。这两个字,听起来真的令人印象深刻。至少对我来说是这样。这是黑客文化中的一个梦想,经常出现在关于间谍/黑客题材的电视剧/电影中,藉此可以“重定向卫星”,以便从轨道上更好地观察敌人的行动。从小时候起,我就一直梦想着获得这样的技能:黑掉一些你看不到它们,但它们却能看到你的东西。由于卫星能够赋予用户强大的力量,所以,它自然是国家防御中最关键的系统之一,因此,卫星应该很难被黑客侵入的。
发布时间:2022-04-13 12:27 | 阅读:97411 | 评论:0 | 标签:exp hack

DeFi Hack 通关学习

作者:0x9k本文为作者投稿,Seebug Paper 期待你的分享,凡经采用即有礼品相送! 投稿邮箱:paper@seebug.org前言DeFi Hack是根据真实世界DeFi中出现的漏洞为模板,抽象而来的wargame。用以提高学习者挖掘、利用DeFi智能合约漏洞的技能[1]。May The Force Be With You题目描述本关目标是从MayTheForceBeWithYou合约中盗取所有的YODA token,难度三颗星。合约代码分析YODA token是自实现的ERC20,自己实现了transfer方法。
发布时间:2022-04-12 18:34 | 阅读:144240 | 评论:0 | 标签:学习 hack

乌克兰安全研究人员吐槽 HackerOne 漏洞赏金平台不让提取资金

在俄乌冲突于 2 月下旬爆发后,许多西方国家都颁布了针对俄罗斯的制裁令。然而漏洞赏金平台 HackerOne 的做法,却让不少乌克兰安全研究人员也感到寒心。多位乌克兰黑客与研究人员在 Twitter 上控诉,HackerOne 正在阻止他们提取漏洞赏金,甚至有人被截留了数千美元。 由 HackerOne 支持代表发给安全研究员 Vladimir Metnew 的一封电子邮件可知:“如果你身处乌克兰、俄罗斯、或白罗斯,那当前所有的通信和交易都将被暂缓”。
发布时间:2022-03-16 12:31 | 阅读:97901 | 评论:0 | 标签:漏洞 HackerOne漏洞 乌克兰 hack 安全

实用网络安全Positive Hack Days国际论坛将于5月18日至19日在莫斯科举行

新的一年已经到来,这意味着一场行业的狂热活动再次在我们面前——实用网络安全Positive Hack Days国际论坛,自2011年以来每年举办一次。这一次,活动将于 5 月 18 日至 19 日在已经很传统的场地——莫斯科世界贸易中心举行。对于那些不能亲自参加 PHDays 的人,将提供所有演讲的在线广播。PHDays 汇集了黑客 、安全研究人员、关键专家、意见领袖、商界领袖、政府官员、年轻科学家和记者。在这里,我们不仅公开讨论网络安全领域的新技术挑战和研究,还公开讨论企业和政府最紧迫的问题以及借助信息安全解决这些问题的方法。
发布时间:2022-01-21 20:26 | 阅读:117442 | 评论:0 | 标签:网络安全 hack 安全 网络

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁

本页关键词 💎