乌云drops - 永久存档

服务端模板注入:现代WEB远程代码执行(补充翻译和扩展) – lupin

原文地址:http://drops.wooyun.org/tips/8292 0x00 前言 原文链接:https://www.blackhat.com/docs/us-15/materials/us-15-Kettle-Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf 最近看了这篇文章,其实也不是新技术,但是作者给出的两个攻击案例很不错,看到drops里面有人翻译了这篇文章,但是没…继续阅读 »
乌云drops - 永久存档

最新webqq密码的加密方式分析过程 – 等TA回来

原文地址:http://drops.wooyun.org/tips/1322 授人以鱼,不如授人以渔,今天就分享一个 分析qq加密的过程。 工具:谷歌浏览器自带的的调试工具(在浏览器中按F12呼出) 以下是全过程,历时4个的小时。 提交的时候调用 onFormSubmit #!js function onFormSubmit(form) { if (form.remember_ui…继续阅读 »
乌云drops - 永久存档

智能路由器安全特性分析 – 腾讯安全中心

原文地址:http://drops.wooyun.org/tips/7318 博文作者:zhuliang 0x00 前言 随着互联网的发展,越来越多公司推出了智能路由器,这些智能路由器给用户带来了众多便利的功能,同时也采用了一些传统路由器不具备的安全特性,本文在简要分析下这些安全特性,供相关技术人员参考。 …继续阅读 »
乌云drops - 永久存档

智能设备逆向工程之外部Flash读取与分析篇 – 唐朝实验室

原文地址:http://drops.wooyun.org/mobile/9797 author: rayxcp 0x00 前言 目前智能家居设备的种类很多,本文内容以某智能豆浆机为例完成对其的固件提取和分析。 究其分析内部逻辑的原因可能会有很多种,和安全相关的原因主要有: 了解设备内部运行逻辑,逆向后有条件更改原…继续阅读 »
乌云drops - 永久存档

显示每个CPU的IDT信息 – correy

原文地址:http://drops.wooyun.org/tips/4854 0x00 简介 记得2008年看保护模式的教程时,痛苦与那些众多的位信息等复杂的结构。 后来入这行,干了几年的驱动。 这是才对这些CPU基本的知识有点了解。 IDT,中断描述符表,这个基本的东西,岂能不会。 IDT HOOK的东西已经很多了,不过…继续阅读 »
乌云drops - 永久存档

是谁让你我如此近距离(论第三方微信营销平台的安全隐患) – 纳米翡翠

原文地址:http://drops.wooyun.org/tips/14016 0x00 简介 开发微信第三方营销平台的人可谓是靠着微信官方开发文档发家的人,他们把开发文档变成产品,变成普通人一看就明白的东西,好多搞营销的不懂技术,好多做技术的不懂营销,他们可谓在技术和营销之前有效的搭了一座桥,让…继续阅读 »
乌云drops - 永久存档

无线应用安全剖析 – sanr

原文地址:http://drops.wooyun.org/wireless/4295 0x00 Wifi破解方式 WEP破解‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍ 如果你的家用路由器的无线加密方式被配置为WEP加密,那么你就得马上进行修改了,因为由于WEP加密体制缺陷,蹭网者能够通过收集足够的…继续阅读 »
乌云drops - 永久存档

无线多操作系统启动之uInitrd阶段NFS挂载篇 – Focusstart

原文地址:http://drops.wooyun.org/tips/2179 0x00 背景 项目组在无线环境下实现了Ubuntu12.04和Android4.0系统在Pandaboard ES开发板上的无线加载、启动及切换。启动过程中操作系统内核uImage和临时根文件系统uInitrd通过wifi网络加载到SD卡中,SD卡中只有轻量级的操作系统引导程序及我们特制的m…继续阅读 »
乌云drops - 永久存档

无处不在的监控: Hacking Team:WP8 监控代码分析 – 猎豹移动安全中心

原文地址:http://drops.wooyun.org/mobile/7196 0x00 背景 最近Hacking Team被黑客入侵,近400GB的资料泄漏,在安全界炒的沸沸扬扬.其中泄漏的资料包括:源代码,0day,资料入侵项目相关信息,相关的账户密码,数据及音像资料,办公文档,邮件及图片。 Hacking Team在意大利米兰注册了一家软…继续阅读 »
乌云drops - 永久存档

无声杯 xss 挑战赛 writeup – insight-labs

原文地址:http://drops.wooyun.org/tips/2671 本次比赛参与人数3700多人,提交并获得了分数的正确答案共有1069条。最终有65名参赛者获得了奖品,一、二、三名分别由p.z,piaca和香草获得。答题结果的总体分布如下: 年龄越来越大,记性越来越差。就当做笔记吧(所有 POC 都只是为了…继续阅读 »