ZONE.CI 全球网

一、前言
想象一个，如果有个攻击者在我们的电脑上释放了一个恶意文件，每当我们访问系统中最喜欢的目录（如Documents目录）时就会执行恶意文件，并且我们对此一

背景
Fuzzer是一种通过产生一系列非法的、非预期的或者随机的输入向量给目标程序，从而完成自动化的触发和挖掘目标程序中的安全漏洞的软件测试技术。相比于形式化的

前记
护网杯刚结束，记录一下做出的3道web（1道赛后解出），很遗憾有一道java没能解出。easy tornado
进入题目
http://49.4.78.8

0x00 前言
从零开始分析struts2代码执行exp，其中不但包括了struts2自己设置的防护机制绕过，还有ognl防护绕过。以s2-057为列，因为有三

2018年10月初，白帽汇安全研究院监测到网络上出现了最新MetInfo的sql注入漏洞。该漏洞是由于攻击者可以绕过MetInfo的过滤sql注入恶意代码的函数

前言
每逢节假日，各种木马病毒都习惯性蹭热点刷存在感。在临近国庆假期之际，360核心安全监测到木马病毒的传播又活跃起来了，有款远控木马试图借用 “网易”官方签名

上期文章链接：https://www.anquanke.com/post/id/161442上周二，发出了文章后，收到了不少小伙伴的反馈，很多问题点上进行了进一

2018年10月12日，白帽汇安全研究院监测到网络上出现了最新雄迈云XMeye P2P云服务器出现内置硬编码账户漏洞。该漏洞是由于服务器被硬编码写入默认的的账户

漏洞分析
内核在3.16版本之后对vma的查找进行了优化:https://git.kernel.org/pub/scm/linux/kernel/git/tor

本研究由独角兽安全夏令营第二届成员谢意同学完成独角兽暑期训练营
360无线电安全研究院每年暑假都会面向在校学生举办一次暑期训练营，申请者投递简历并提交自己想做的

一、前言
思科Talos团队最近发现了一款新的恶意软件，该软件会释放名为“Agent Tesla”的信息窃取木马以及另一款恶意软件Loki（这也是款信息窃取木马

2018年10月中旬，白帽汇安全研究院监测到网络上出现了Teltonika路由器远程命令执行漏洞。该漏洞是由于RUT9XX路由器设备中某些文件存在接受外部输入的

一、前言
我们发现Java Usage Tracker中存在设计缺陷（或者脆弱点），攻击者可以利用该缺陷创建任意文件、注入攻击者指定的参数以及提升本地权限。这些

视频直播链接：24日上午    24日下午   25日上午   25日下午图片直播传送门活动简介
以“人攻智能 洞见未来”为主题的中国网络安全界最前沿、最具活力

近日，在BlackHat 2018大会上公布了一种针对PHP应用程序的全新攻击技术。来自Secarma的安全研究员Sam Thomas分享了议题“It’s a

Github发布2018年度大数据统计报告
Github是互联网从业者钟爱的技jiao术you社区，里面也聚集了大量的安全爱好者。而就在前几日，Github发布

orange大佬出的题目，质量很高，能学到不少东西，这里简单分析复现一下。
初见题目
刚开始拿到题目源码，发现使用的是cakephp框架，逻辑代码并不是很多，大

本文作者：karmayu
导语：「天下熙熙，皆为利来；天下攘攘，皆为利往。」太史公一语道尽众生之奔忙。在虚拟的世界，同样有着海量的「众生」，它们默默无闻，它们不

一、前言
微软的SettingContent-ms文件已经成为近期的一个热门话题。在7月份，我们看到有个垃圾邮件攻击活动使用了PDF中内嵌的恶意SettingC

作者：icematcha0x01. 前言
MikroTik路由器在4月份被发现存在目录遍历漏洞CVE-2018-14847，危险程度为中。Tenable Res

点击下载：阅读安全客2018季刊——第三季
点击下载：使用新版APP（3.0.3） 阅读季刊文章可参与抽奖10月23日，安全客2018季刊—第3季再度上线，我们

概述
在今年4月，公开披露了MikroTik的一个漏洞CVE-2018-14847，同时厂商也发布了相应补丁。然而，这一漏洞在披露之后很快被黑客利用，主要用来进

一、概述
McAfee高级威胁研究小组发现一个针对韩语用户的数据侦察类恶意软件。由于它与早期恶意软件Seasalt（海盐，属于早期的一个中国黑客组织）的相似性，

学习一番IEEE 802.11后，从原理性角度分析一道无线流量的CTF题目。
在文章的开头处，先贴个wireshark分析802.11协议的pdf链接，可根据该

译者摘要： 本文是从 Kekeo 到 Rubeus 的后续，作者继续更新了 Rubeus 项目，实现了更多的 Kekeo 功能。主要介绍了虚假代理 TGT 和