D-Link DSL-3782 代码注入漏洞CVE-2022-34527分析
作者:景琇提取固件并分析binwalk -Me DSL-3782_A1_EU_1.01_07282016.bin查看/usr/etc/init.d/rcS#Web serverif [ ! -d '/var/boaroot/html/' ] || [ ! -d '/...
Tenda 路由器 CVE-2022-37810分析
作者:ryze_t01简介Binwalk 可以提取出其文件系统。文末跳转“阅读原文”获取固件下载地址02固件模拟Tenda 控制 WEB 相关流程的程序一般是 bin 目录下的 httpd ...
花式解密Zyxel加密固件包
前言在网上看到了几篇有意思的文章,感觉能和自己之前在打CTF比赛时的知识相结合,遂自己动手复现一下。如需参考资料和下载链接请在文末跳转原文01准备打开该...
每周蓝军技术推送(2022.9.10-9.16)
Web安全利用 Jetty 中间件特性攻击 Web 应用程序https://swarm.ptsecurity.com/jetty-features-for-hacking-web-apps/不使用括号实现 JavaScript 的函数调用h...
物联网安全实战从零开始-Vivotek的Fuzzing 栈溢出
本环境是蛇矛实验室基于'火天网演攻防演训靶场'进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和...
“羊了个羊”通关修改思路
本文为看雪论坛优秀文章看雪论坛作者ID:aimhack最近几天一款WX小游戏火爆出圈,自己尝试通关40多次,无奈最后还是选择走捷径。这里主角当然是Fiddler[window...
针对U盘文件的盗与防攻略
V-lab实验室近年来,使用U盘作为介质完成的网络攻击屡见不鲜。2010年的震网病毒事件,使用了基于U盘来触发的windows 快捷方式漏洞;2014年安全研究员在BlackH...
区块链密码基础之签名算法(二)
一、引言区块链的匿名性是指用户在区块链网络中使用假名进行活动,其本质为非实名性。而对于某一假名,其交易数据都记录在公共账本上,任何人都可以获取其交...
性骚扰事件中的AirDrop(隔空投送)日志分析
本文由石冀编译,Roe校对,转载请注明。早前我看到一篇关于 '纽约市计划将使用airdrop空投色情图片定为犯罪[1]',不禁让我思考,如果警察对发送方或接收...
Security Advisory: NETGEAR Routers FunJSQ Vulnerabilities
When working on improving our component detection capabilities to provide more exhaustive automated Software Bill of Materials (SBOM) for IoT devic...