ZONE.CI 全球网

0x0 概述
2018.9.10，网络曝光趋势科技做的 Mac 解压缩软件会上传用户浏览器历史记录，相关资料参考：
Additional Mac App Sto

一、概述
在我们的日常监测过程中，发现有两个前所未见、经过严重混淆的脚本，成功通过了基于文件的反病毒检测，并且动态地将信息窃取Payload加载到内存中。这些脚

可插拔认证模块PAM-Pluggable Authentication Modules是一套共享库，用来对应用程序或服务的使用进行认证授权以及提供其他安全服务。

背景介绍
从2018年9月20号开始，360Netlab Anglerfish蜜罐系统监测到互联网上有大量IP正在针对性地扫描路由器系统。攻击者尝试对路由器We

Minesweeper Championship Registration
签到关，jar程序，直接拖入jd，很直接的flag: GoldenTicket201

一、前言
我曾深入分析过AppLocker，想从中找到绕过PowerShell约束语言模式（Constrained Language Mode，CLM）的方法，

2018年9月中旬，外网发布西部数码MyCloud个人NAS(网络存储器)漏洞。该漏洞存在身份验证绕过漏洞，未经身份验证的攻击者可利用此漏洞以管理员用户身份进行

据白帽汇安全研究院统计，目前发现超过30w的MikroTik路由器被植入挖矿代码，攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中

本研究由独角兽安全夏令营第二届成员谢意同学完成独角兽暑期训练营
360无线电安全研究院每年暑假都会面向在校学生举办一次暑期训练营，申请者投递简历并提交自己想做的

2018年10月初，白帽汇安全研究院监测到网络上出现了最新MetInfo的sql注入漏洞。该漏洞是由于攻击者可以绕过MetInfo的过滤sql注入恶意代码的函数

2018年10月12日，白帽汇安全研究院监测到网络上出现了最新雄迈云XMeye P2P云服务器出现内置硬编码账户漏洞。该漏洞是由于服务器被硬编码写入默认的的账户

概述
在今年4月，公开披露了MikroTik的一个漏洞CVE-2018-14847，同时厂商也发布了相应补丁。然而，这一漏洞在披露之后很快被黑客利用，主要用来进

2018年10月中旬，白帽汇安全研究院监测到网络上出现了Teltonika路由器远程命令执行漏洞。该漏洞是由于RUT9XX路由器设备中某些文件存在接受外部输入的

0X01 前言：
hitcon 2018 过去了，作为一个 web 手 one-line-php-challenge 这道题自然引起了我的很大的兴趣，后期看各路

背景
2018年10月18日，360威胁情报中心首次捕获到一例利用Excel 4.0宏传播Imminent Monitor远控木马的在野攻击样本。而这离2018

0x00 事件背景
2018-10-31 Cisco官方发布安全预警 多款运行Cisco Adaptive Security Appliance (ASA)和

本文由 Hui Wang、RootKiter共同撰写360Netlab在2018年9月注意到一个新的僵尸网络。该僵尸网络的感染数量特别巨大，每个扫描波次中活跃的

我一直想在这个小项目上花一些时间做一些研究，但是由于生活所迫让我总是一直繁忙。现在我终于可以抽出一些时间了继续研究这种攻击技术了，我将在本文中阐述我的研究成果。

提交地址：[email protected] 活动简介
简单点，双十一套路简单点，烧脑的算法请省略……还在应战某宝双十一大型烧脑纪录片吗？还在思考用什么

2018年11月,白帽汇安全研究院发现公网上出现了在9月份公布的Adobe ColdFusion服务器任意文件上传漏洞（CVE-2018-15961）的实际利用

一场活跃且隐秘的加密货币挖掘和勒索软件活动正在感染西班牙和法国的目标用户，该软件利用多种绕过技术来逃避传统AV的检测。
恶意软件活动概要
最近，enSilo研究

By DWN战队
web这块基本都是原题，仅作参考。
差一题pwn200 AK。
签到题 SingIn WelcomeWEB Code Check
访问是一个登

1、反射型 XSS
反射型 XSS 是指应用程序通过 Web 请求获取不可信赖的数据，在未检验数据是否存在恶意代码的情况下，便将其传送给了 Web 用户。反射型

作者：k0rz3n
转载自k0rz3n博客：k0rz3n.com
0X00 两道题两个非预期
本来就出了这一道题，PHP 代码是用 orange 的改的，我本想

活动简介转眼，快手 SRC 已经开张近半年了。这半年，我们结识了很多新老铁。为了感谢各位老铁这半年里的付出和帮助，快手 SRC 来袭一波感恩节活动——老铁，你准