热点概要:渗透技巧——程序的降权启动、WiMAX路由器中的OEM后门和认证绕过、针对西门子PLC蠕虫的实现、关于现代无线鼠标和键盘的安全性报告、浅析如何通过一个PPT传递恶意文件、如何通过fuzz找出更多的FFmpeg漏洞
资讯类:
黑山在加入北约之际遭受俄罗斯黑客攻击
http://www.securityweek.com/russian-hackers-target-montenegro-country-joins-nato
技术类:
通过打印机的秘密跟踪点查找泄漏文件
http://www.bbc.com/future/story/20170607-why-printers-add-secret-tracking-dots
CVE-2017-0213 Windows COM 特权提升漏洞组件
https://xianzhi.aliyun.com/forum/read/1692.html
CI框架下column注入
TCTF 2017 FINAL WEB PARTIAL WRITEUP
渗透技巧——程序的降权启动
WiMAX路由器中的OEM后门和认证绕过
http://blog.sec-consult.com/2017/06/ghosts-from-past-authentication-bypass.html
三个案例看Nginx配置安全
https://www.leavesongs.com/PENETRATION/nginx-insecure-configuration.html
GoFetch:一个自动执行BloodHound应用程序生成的攻击计划的工具
https://github.com/GoFetchAD/GoFetch
利用应用程序验证器进行hook函数和持久化
BubbleUPNP(android上DLNA遥控客户端)默认可以访问所有的文件
https://blog.tom-fitzhenry.me.uk/2017/06/bubbleupnp-serves-your-files-via-wifi-by-default.html
Security Fest 2017 会议视频
https://www.youtube.com/channel/UCByLDp7r7gHGoO7yYMYFeWQ
针对西门子PLC蠕虫的实现
https://xianzhi.aliyun.com/forum/read/1693.html
浅析如何通过一个PPT传递恶意文件
http://bobao.360.cn/learning/detail/3947.html
FireEye发现针对全球法律和投资公司的网络钓鱼活动
https://www.fireeye.com/blog/threat-research/2017/06/phished-at-the-request-of-counsel.html
构建你自己的AD实验室
https://sethsec.blogspot.com/2017/06/pentest-home-lab-0x2-building-your-ad.html
Cisco AnyConnect本地提权漏洞
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-anyconnect
CVE-2016-10277:利用此漏洞可在Moto G4 & G5获取系统权限
https://alephsecurity.com/2017/06/07/initroot-moto/
通过fodhelper.exe 绕过uac
https://pentestlab.blog/2017/06/07/uac-bypass-fodhelper/amp/
如何通过fuzz找出更多的FFmpeg漏洞
http://liveoverflow.libsyn.com/fuzzing-ffmpeg-paul-cher
关于现代无线鼠标和键盘的安全性报告
https://www.exploit-db.com/docs/42109.pdf
Shellcode:x86优化第1部分
评论