Telegram 钓鱼事件分析:鱼叉式攻击链路解析
一、事件背景与概述1. 引言Telegram 凭借其高隐私性和加密通信功能,受到全球用户的广泛欢迎。然而,伴随着用户数的激增,针对 Telegram 的社工攻击、钓鱼手段也日益翻新。本文记录了本人在
阅读全文Tomcat自动化漏洞扫描利用工具
工具介绍Tomcat自动化漏洞扫描利用工具,支持批量弱口令检测、后台部署war包getshell、CVE-2017-12615 文件上传、CVE-2020-1938/CNVD-2020-10487 文
阅读全文疯狂刷单3000笔又全部退货!虚假“直播带货”骗取佣金链条被斩断;|《网络安全法》再次征求意见,拟加大对违法行为处罚力度
重要!!!2025HW招募,加V:Hacker-ED详情请点击:重要!2025HW招募!疯狂刷单3000笔又全部退货!虚假“直播带货”骗取佣金链条被斩断近日,公安机关网安部门成功侦破一起网络直播诈骗案
阅读全文2025年3月三大网络攻击事件盘点
2025年3月,网络威胁事件激增,个人用户和企业组织均面临严峻风险。从被武器化用于窃取个人数据的银行应用,到遭滥用于将用户重定向至钓鱼陷阱的可信域名,网络犯罪分子手段层出不穷。其攻击策略正变得更具创造
阅读全文某云盘系统 API 端点无限制上传漏洞解析
background在某次赚钱的时候,发现出现了这个系统的低版本 搜索了很久相关只找到了一个简短的一句话 但没有其他漏洞细节 于是本地搭建挖一下0x01 漏洞限制条件首先是需要一个账号来调用后台的插件
阅读全文利用主流 AI(如 Kimi、DeepSeek、GPT 等)检测越权漏洞的工具
工具介绍PrivHunterAI一款通过被动代理方式,利用主流 AI(如 Kimi、DeepSeek、GPT 等)检测越权漏洞的工具。其核心检测功能依托相关 AI 引擎的开放 API 构建,支持 HT
阅读全文Telegram惊现公开群组聊天索引机器人,抓取560亿条发言记录|黑客组织攻击纽约大学官网,泄露 300 万学生敏感信息
Telegram惊现公开群组聊天索引机器人 抓取8.6亿名用户的560亿条发言记录;即时通讯应用Telegram近期出现了一款名为Funstatgrtbot的监控机器人,该服务引发了对用户隐私保护的重
阅读全文白宫Signal聊天泄密事件正在演变成一场国家安全危机
白宫的Signal聊天泄密事件(以下简称“Signal泄密门”)仍在发酵。继《大西洋月刊》24日首次爆料特朗普政府高官在非政府加密应用Signal上讨论对也门胡塞武装的军事打击计划后。本周三《大西洋月
阅读全文攻防|记一次攻防和产品对抗
本文主要介绍了医疗行业在无资产的场景下的一些测试思路以及在打点、内网过程中一些安全产品对抗相关的内容,涉及waf绕过、上线技巧、提权绕过杀软、特定条件下隧道链等,针对整体的攻击过程进行相关总结,以及针
阅读全文轻量级的 Active Directory 枚举工具,用于收集域环境中的信息
工具介绍GhostAD 是一个轻量级的 Active Directory 枚举工具,用于收集域环境中的信息,包括域信息、域信任关系、密码策略、管理员账户等。该工具使用 LDAP 协议直接查询 Acti
阅读全文App30天内疯狂访问位置信息7万次!小红书客服回应:不会泄露隐私;|某机构查询系统存在数据泄露风险 被予以警告处罚
App30天内疯狂访问位置信息7万次!小红书客服回应:不会泄露隐私;2025年3月26日,近日,小红书因后台高频获取用户位置信息引发热议。其中一位用户截图显示,近30天内小红书应用访问总量高达9.2万
阅读全文网络犯罪分子提升钓鱼攻击效力的11种新手段
网络犯罪分子正通过调整社会工程策略,提升攻击的真实性、绕过过滤器并更精准地锁定潜在受害者。图片来源:JLStock / Shutterstock钓鱼攻击长期以来一直是安全漏洞的主要来源,尽管经过多年的
阅读全文间接提示注入攻击全面测评
前言大型语言模型(LLMs)正日益被整合到代理框架中,使其能够通过工具执行特定操作。这些代理不仅可以处理复杂的任务,还能够与外部系统交互,例如自动化流程和设备控制等。随着技术的进步,LLM驱动的代理被
阅读全文简单方便使用的渗透测试工具箱
工具介绍EasyTools一个简单方便使用的渗透测试工具箱,本着不重复造轮子的原则,本工具目前糅合了网址导航、工具导航、信息查询、信息处理、编码解码、随机生成、免杀生成等功能。工具更新2025-2-2
阅读全文美国高层“乌龙式”泄密:记者意外卷入军事机密群聊;|演员张凌赫工作室声明:一女子非法窃取艺人及其家人个人信息并骚扰造谣
美国高层“乌龙式”泄密:记者意外卷入军事机密群聊;当地时间3月24日,美国《大西洋月刊》主编杰弗里·戈德伯格发文披露,自己被意外拉入美国政府高层讨论空袭也门胡塞武装的机密群聊“胡塞问题核心小组”。群内
阅读全文黑客窃取 32 亿个登录凭证 全球 2300 万台设备被攻击
lashpoint 的最新情报报告清晰地揭示了持续升级的网络威胁态势,着重指出了泄露凭证和恶意软件感染数量惊人增长的情况。在 2024 年,威胁行为者成功窃取了数量前所未有的 32 亿个登录凭证,相较
阅读全文从域认证协议以及密码凭据机制的角度来看内网渗透
原文链接:https://forum.butian.net/share/4191本文记录了内网渗透中主机之间的认证以及横向,域渗透相关的协议以及思路的多种方式,windows密码抓取主机登录验证(NT
阅读全文最新一款信息收集综合工具
工具介绍网络空间资产测绘、ICP备案、天眼查股权结构图、IP138域名解析与IP反查、外部HTTP调用与小程序反编译。设置认证信息,天眼查为auth_token,爱企查为cookie。ICP批量查询务
阅读全文4090显卡可破解军用加密通信?GPU暴力破解终结短密钥时代;|办公OA系统未采取技术措施造成部分数据泄露 被罚
4090显卡可破解军用加密通信?GPU暴力破解终结短密钥时代GoUpSec点评:在量子计算到来之前,GPU暴力破解对于使用短密钥的很多国际标准和包括军事加密通信在内的现实应用来说是一个更为紧迫的威胁。
阅读全文为何AI系统比以往任何时候都更需要红队测试
AI 系统已深度融入现代生活,但并非无懈可击。红队测试作为一项关键技术,正通过系统性地挖掘 AI 漏洞,显著提升其安全性与可靠性。随着人工智能技术的快速迭代,这种全面测试的需求愈发迫切,不仅能防范潜在
阅读全文记一次渗透测试的实操
在一次渗透测试过程中,发现了一个存在 webuploader 漏洞的网站,其漏洞利用的 POC如下:POST //statics/admin/webuploader/0.1.5/server/prev
阅读全文一个高效、稳定的小蓝本网站数据采集工具,可自动提取公司和集团等信息,为了方便进行SRC信息收集
工具介绍这是一个用于采集小蓝本网站数据的自动化工具。可以采集公司和集团的产品、媒体、网站、股东等相关信息。支持自动处理弹窗、智能重试和错误恢复。环境要求Python 3.8+Chrome浏览器Chro
阅读全文揭秘“先学后付”:只上了五节课,难退费还背上“消费贷”|Tenable 称 DeepSeek AI 模型易遭破解用于生成恶意软件
记者揭秘“先学后付”层层套路:只上了五节课,难退费还背上“消费贷”“你再不还款,我们公司就要报警处理了!”在福建宁德读大学的李晓向位于四川成都一家教育咨询公司提出退课退费后,公司就开始跟她“算账”——
阅读全文面向漏洞编程:如何让AI编程助手生成带后门的代码
安全内参3月20日消息,安全厂商Pillar Security的研究人员发布报告称,GitHub Copilot和Cursor等AI编程助手可能会被操纵,攻击者可以通过分发恶意规则配置文件,诱导AI生
阅读全文Jeecg漏洞总结及tscan poc分享
前言jeecgboot是一款基于代码生成器的低代码开发平台,集成完善的工作流、表单、报表、大屏的平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue
阅读全文针对LNK文件的PE嵌入隐写工具
工具介绍ExecutePeFromPngViaLNK是一款针对PE文件和LNK文件的安全测试工具,该工具旨在使用LNK文件提取并执行嵌入在PNG文件中的PE。该工具可以对LNK文件和PE文件执行操作,
阅读全文菜鸟驿站,在线辟谣;|3名“00后”利用平台App漏洞盗刷“金豆”提现近10万元
菜鸟驿站,在线辟谣!近日后台不少粉丝反映收到了一则自称“菜鸟驿站”的短信通知称账户已签订缴费协议并收取8000余元的费用想取消得点击附带的一个链接(部分私信截图)收到信息后有人心存疑惑确实会到菜鸟驿站
阅读全文网络安全的新支点:以人为本
网络安全行业长期以来最大的误区是将“人”看作是体系中最薄弱的环节,试图用技术来压制或修复“人的漏洞”。根据Verizon的《2023年数据泄露调查报告》,2023年68%的网络攻击事件由“人为因素”导
阅读全文记录hw使用无问AI收集资产
很快啊~马上又到了各大单位搞HW的时间段了,这不,为了面临即将到来的hw,我这边的客户,又让我针对单位资产开展一波渗透测试了,而且让我先对资产在进行一波探测,哎,作为苦逼的乙方,能怎么办呢?只能照办喽
阅读全文一个用于动态切换的代理池工具
工具介绍@Lockly师傅的一个基于wails的练习项目,用于动态切换的代理池工具,界面友好上手简单。还有另一个代理池工具可以看今天发的第2篇文章。工具使用自行导入文件,经检测后若存在可用代理则会持续
阅读全文