诺言诺语
踹哈公寓
@oracleimpact
一等情事
一等情事 (Chinese)
一等情事频道是一个专注于分享浪漫故事和情感心得的地方。无论是真实的爱情经历、动人的情感故事、还是关于人际关系的智慧分享,这里汇聚了各种关于爱情和情感的内容,让您在温馨的氛围中尽情沉浸。不论您是正在经历爱情困惑,还是想要了解他人的故事以得到启发,一等情事频道都将成为您的心灵港湾。通过分享和倾听,让我们一起探索爱情的美好和奥秘吧。加入我们,成为这个温暖而充满爱意的社区的一部分吧!
踹哈公寓
30 Jan, 03:32
Wiz Research 发现 DeepSeek 数据库泄露敏感信息,包括聊天记录
https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
#威胁情报
https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
#威胁情报
踹哈公寓
25 Jan, 03:19
扫哥tv之晓骑营scan大高手
又到了新春佳节来临之际,让我们跟随国外威胁情报组织的报告鉴赏一下tg顶级黑客海子哥的渗透手法
https://thedfirreport.com/2024/10/28/inside-the-open-directory-of-the-you-dun-threat-group/
客观的来说对于初学者还是挺有学习价值的,从外围打点到内网的一套流程还是比较全,当然C2公网暴露出来各种文件底裤漏完就别学了
又到了新春佳节来临之际,让我们跟随国外威胁情报组织的报告鉴赏一下tg顶级黑客海子哥的渗透手法
https://thedfirreport.com/2024/10/28/inside-the-open-directory-of-the-you-dun-threat-group/
客观的来说对于初学者还是挺有学习价值的,从外围打点到内网的一套流程还是比较全,当然C2公网暴露出来各种文件底裤漏完就别学了
踹哈公寓
08 Jan, 09:35
【情报】CVE-2024-35250存在后门🚨🚨🚨
昨天收到情报在分析,Github上面的CVE-2024-35250项目,由原始开发者0xjiefeng针对国内安全人员进行定向投毒🤪
使用Visual Studio打开 .sln 或者.csproj 项目文件后,VS 会自动加载并调用关联的 .suo 文件,从而触发恶意代码,这是之前披露过的的投毒手法😂
昨天收到情报在分析,Github上面的CVE-2024-35250项目,由原始开发者0xjiefeng针对国内安全人员进行定向投毒🤪
使用Visual Studio打开 .sln 或者.csproj 项目文件后,VS 会自动加载并调用关联的 .suo 文件,从而触发恶意代码,这是之前披露过的的投毒手法😂
踹哈公寓
29 Dec, 03:23
回忆起通达系列有个版本的oa,拿到源码,某逻辑下面有一个语句块,注释是这么写的 //此段代码用于优化sql检索速度
然后我就没看,心想这块和安全没关系吧,这是处理性能的部分。后面挖了半天跟进变量值发现值怎么莫名奇妙变了,我nm,他把过滤外部字符串的函数调用全写在这里面的,然后写个注释说这段代码是优化查找速度的
然后我就没看,心想这块和安全没关系吧,这是处理性能的部分。后面挖了半天跟进变量值发现值怎么莫名奇妙变了,我nm,他把过滤外部字符串的函数调用全写在这里面的,然后写个注释说这段代码是优化查找速度的
踹哈公寓
26 Dec, 09:14
【情报】近期Telegram出现机器人钓鱼🚨🚨🚨
首先攻击者会发账户被限制的截图,让别人误以为自己的账号被限制了,然后提供假的官方机器人从而拿到手机号🤔
请认清官方机器人是有认证蓝标的,而且不会让你透露个人信息!涉及账号已被我举报拉黑😂
首先攻击者会发账户被限制的截图,让别人误以为自己的账号被限制了,然后提供假的官方机器人从而拿到手机号🤔
请认清官方机器人是有认证蓝标的,而且不会让你透露个人信息!涉及账号已被我举报拉黑😂
踹哈公寓
20 Dec, 12:26
1.无脑搬运原题,最大原罪
2.在已经和多位选手表示题目数量已经定了的情况下悄悄咪咪上新题,官方群里也不通知
3.赛后马上关平台,wp撰写困难,只在多位选手的吐槽下发了容器地址,还只是部分题目容器,20道题发了6道的地址
4.赛后无法平复选手心情,没有及时解决选手问题,官群甚至实施了两次无脑强制全员禁言
5.对于选手问题避而不谈,东扯西扯,没有回答到正确的点上,还是主办老师肉眼可见不是本专业老师
6.群主是比赛手册上不存在的官方赛事联系老师
7.无三血播报
8.分数问题,众多选手说的后来居上的问题无法及时公布正确数据(此“动态积分”机制有待考证)
这么多重量级单位最后就办了这么个抽象比赛出来,幽默完了
2.在已经和多位选手表示题目数量已经定了的情况下悄悄咪咪上新题,官方群里也不通知
3.赛后马上关平台,wp撰写困难,只在多位选手的吐槽下发了容器地址,还只是部分题目容器,20道题发了6道的地址
4.赛后无法平复选手心情,没有及时解决选手问题,官群甚至实施了两次无脑强制全员禁言
5.对于选手问题避而不谈,东扯西扯,没有回答到正确的点上,还是主办老师肉眼可见不是本专业老师
6.群主是比赛手册上不存在的官方赛事联系老师
7.无三血播报
8.分数问题,众多选手说的后来居上的问题无法及时公布正确数据(此“动态积分”机制有待考证)
这么多重量级单位最后就办了这么个抽象比赛出来,幽默完了
踹哈公寓
20 Dec, 12:22
神人TV之某慧杯ctf比赛竟然在比赛结束20天前就能在互联网搜索到wp(据说题目没有原创全是抄的)本关考察你百度搜索功夫,谁抄得快谁是冠军
只能说习题爱抚圈子就是这么恶臭,在神秘黄色小软件私下py老登代打勾结主办方等操作已经司空见惯过后,这次整个wp赛前20天透露wp的大烂活,总是能给你烂出些新花样来,自己环境这么烂某些人也别怪企业招聘简历不看重ctf成绩了🤣
只能说习题爱抚圈子就是这么恶臭,在神秘黄色小软件私下py老登代打勾结主办方等操作已经司空见惯过后,这次整个wp赛前20天透露wp的大烂活,总是能给你烂出些新花样来,自己环境这么烂某些人也别怪企业招聘简历不看重ctf成绩了🤣
踹哈公寓
15 Dec, 06:43
2022年上海公安十亿公民信息泄露溯源分析,澳大利亚安全情报部门为幕后主使
时间线:
1、2020年底,黑客入侵了alibaba的上海警察数据库
2、2021年4月,拥有澳大利亚政府背景的安全公司Internet 2.0获取到数据后将部分上海警察数据库信息交由五眼联盟情报部门以及澳大利亚广播公司、英国广播公司进行炒作,指责中国严密监控维吾尔族。
获取到部分样本的威胁情报专家Jeremy Kirk披露样本并提出两点质疑:
(1)为什么这些数据被故意放到了一个任何人都能访问的elasticsearch服务器上
(2)这些数据可能被故意遭到篡改
3、2021年11月,上海公安局数据处原党委书记沈与辛被双开并立案调查,但elasticsearch服务器依然能被任何人访问
4、2022年6月,黑客直接把数据放到论坛拍卖,引发国内外媒体强烈震动,泄露服务器被紧急关闭
本溯源报告原为相关部门内参,但团队成员发现威胁情报专家Jeremy Kirk突然删除关键推文,故发新闻稿。注:2021年4月为许多报告公认的上海公安数据库最初泄露时间,但我们十分确信五眼联盟更早就拿到了数据
📮投稿机器人 ☘️频道 🌸聊天
时间线:
1、2020年底,黑客入侵了alibaba的上海警察数据库
2、2021年4月,拥有澳大利亚政府背景的安全公司Internet 2.0获取到数据后将部分上海警察数据库信息交由五眼联盟情报部门以及澳大利亚广播公司、英国广播公司进行炒作,指责中国严密监控维吾尔族。
获取到部分样本的威胁情报专家Jeremy Kirk披露样本并提出两点质疑:
(1)为什么这些数据被故意放到了一个任何人都能访问的elasticsearch服务器上
(2)这些数据可能被故意遭到篡改
3、2021年11月,上海公安局数据处原党委书记沈与辛被双开并立案调查,但elasticsearch服务器依然能被任何人访问
4、2022年6月,黑客直接把数据放到论坛拍卖,引发国内外媒体强烈震动,泄露服务器被紧急关闭
本溯源报告原为相关部门内参,但团队成员发现威胁情报专家Jeremy Kirk突然删除关键推文,故发新闻稿。注:2021年4月为许多报告公认的上海公安数据库最初泄露时间,但我们十分确信五眼联盟更早就拿到了数据
📮投稿机器人 ☘️频道 🌸聊天
踹哈公寓
17 Nov, 04:23
吃瓜一下,不评价这个事情谁错谁对,仅仅发表一下我对于这个error文件上传的看法
首先响应里回显error的文件上传的洞,去公众号上搜吧,怎么都搜不到,红岸基地这篇文章也坦白了那图就是乱配的。加上他没在这篇文章里回应的,那个靠手速进的“后台管理系统”,良品铺子那整篇文章啥性质大家心里差不多就清楚了
至于这个视频里怎么实现的回显error但是成功上传文件,有点php开发经验的同志们应该都懂,在上传成功的if下面直接写
说白了就是个字符串,把upload.php代码本地搭建后即可复现视频中效果了,
至于现实里真会有开发在上传成功的响应json信息里写个error吗?这个就跟大黄豆的赛博亲妈一样我认为是不存在的
首先响应里回显error的文件上传的洞,去公众号上搜吧,怎么都搜不到,红岸基地这篇文章也坦白了那图就是乱配的。加上他没在这篇文章里回应的,那个靠手速进的“后台管理系统”,良品铺子那整篇文章啥性质大家心里差不多就清楚了
至于这个视频里怎么实现的回显error但是成功上传文件,有点php开发经验的同志们应该都懂,在上传成功的if下面直接写
echo json_encode([
'message' => 'error',// 这个error你想写什么写,你把error替换成孙笑川这几个字响应的json里也能回显孙笑川
'status_code' => 200,
'file_path' => $targetFilePath,
]);
说白了就是个字符串,把upload.php代码本地搭建后即可复现视频中效果了,
至于现实里真会有开发在上传成功的响应json信息里写个error吗?这个就跟大黄豆的赛博亲妈一样我认为是不存在的
踹哈公寓
15 Nov, 15:34
欣赏一下国护防守方一等奖大神的命令行操作
八月份的时候我就已经感觉这哥们邮电部诗人了,把javaweb里的路由当路由器那个路由(他简历上写的精通java)你说他蓝队大玉不懂Hae这些我也认了,然后他又吹什么,《我🥴当🥴年🥴如🥴果🥴去🥴做🥴红🥴队🥴我🥴不🥴知🥴道🥴得🥴挖🥴多🥴少🥴0🥴day》,这个月又是连着三个双休全加班给这种神人培训……我真的个人建议现在很多企业培训方向不要一上来就培训什么过waf什么bypass什么xx环境骚姿势利用,很多时候你家员工某个方面的基本功就有问题,你说hae官方的readme.md没写清楚你不知道那个是插件在burp里的安装路径我也认了,在win里bash -c这是个正常人类能整得出来的操作吗?
八月份的时候我就已经感觉这哥们邮电部诗人了,把javaweb里的路由当路由器那个路由(他简历上写的精通java)你说他蓝队大玉不懂Hae这些我也认了,然后他又吹什么,《我🥴当🥴年🥴如🥴果🥴去🥴做🥴红🥴队🥴我🥴不🥴知🥴道🥴得🥴挖🥴多🥴少🥴0🥴day》,这个月又是连着三个双休全加班给这种神人培训……我真的个人建议现在很多企业培训方向不要一上来就培训什么过waf什么bypass什么xx环境骚姿势利用,很多时候你家员工某个方面的基本功就有问题,你说hae官方的readme.md没写清楚你不知道那个是插件在burp里的安装路径我也认了,在win里bash -c这是个正常人类能整得出来的操作吗?
踹哈公寓
13 Nov, 17:59
国护的✌🏻就是✌🏻,唉,小众护网杀穿了没有国护成绩永远都是冲击波,国护得个奖在甲方爸爸那就能享受一年免喷权。我们看看号称国护最佳防守单位的蓝高✌🏻写的技战法,哦,个人建议这个防守方一等奖别颁给某人了,颁给他背后的安恒大全套态感设备比较好,原来是态上皇啊,那没事了😅
《我🥴当🥴年🥴如🥴果🥴去🥴做🥴红🥴队🥴我🥴不🥴知🥴道🥴得🥴挖🥴多🥴少🥴0🥴day》
可惜态上皇这个月瞎掺和ga那边打案源的事情被bbin包网的维护人员对位抽成陀螺了
《我🥴当🥴年🥴如🥴果🥴去🥴做🥴红🥴队🥴我🥴不🥴知🥴道🥴得🥴挖🥴多🥴少🥴0🥴day》
可惜态上皇这个月瞎掺和ga那边打案源的事情被bbin包网的维护人员对位抽成陀螺了
踹哈公寓
07 Nov, 09:56
某培训机构迫真《实战》《打穿》文章,建议换个标题,《网安圈恩情课文——红岸基地龙将军使用404法击落良品铺子》
响应里边都error了说是成功进行了文件上传,这是想对观众的脑子进行外科手术式打击
https://mp.weixin.qq.com/s/ShHRKjxZVhPOBmleVnnjvA
响应里边都error了说是成功进行了文件上传,这是想对观众的脑子进行外科手术式打击
https://mp.weixin.qq.com/s/ShHRKjxZVhPOBmleVnnjvA
踹哈公寓
05 Nov, 02:10
国内臭母狗魅力时刻
拿着一个手机上的翻译勾搭太子,趁太子低头看手机内容的时候比姿势然后抓拍,到处发到网上炒作,事后编故事说是“G2的人找她去陪小孩的”😅
所以现在的意思是一个正经俱乐部被视为核心的选手在心情低落时不找队内老父亲,俱乐部也不让心理顾问来干预,反而是让你一个《不会英文》《无法交流》《没有名气的符文法师》来安慰吗?然后你没有要求拍摄照片,《恰巧两个路人》(还都是亚洲面孔)走近进行拍摄,而《你恰巧都看着镜头》,摆好姿势?你的意思是血气方刚的孩神主动搂住你但是注意力只放在手机上
这样吧,一个19岁两万小时时长的纯粹cser和一个自称小李子粉丝硬蹭的符文法师,你说我该信谁?
拿着一个手机上的翻译勾搭太子,趁太子低头看手机内容的时候比姿势然后抓拍,到处发到网上炒作,事后编故事说是“G2的人找她去陪小孩的”😅
所以现在的意思是一个正经俱乐部被视为核心的选手在心情低落时不找队内老父亲,俱乐部也不让心理顾问来干预,反而是让你一个《不会英文》《无法交流》《没有名气的符文法师》来安慰吗?然后你没有要求拍摄照片,《恰巧两个路人》(还都是亚洲面孔)走近进行拍摄,而《你恰巧都看着镜头》,摆好姿势?你的意思是血气方刚的孩神主动搂住你但是注意力只放在手机上
这样吧,一个19岁两万小时时长的纯粹cser和一个自称小李子粉丝硬蹭的符文法师,你说我该信谁?
踹哈公寓
05 Nov, 02:06
Так блять, она подходит просит сделать фотки, переводит на своем телефоне с китайского на английский, пока раздуплишься что там написано, за руку берет. Не берите в голову, это фу
踹哈公寓
27 Oct, 10:48
我这辈子没想到我会在 Linux Kernel changelog 里看到「根据相关法律法规」
Free software 最终活成了自己讨厌的模样;Linus 终于想起来了自己是个芬兰人;西方学会了「根据相关法律法规」,我们都有光明的未来
https://lore.kernel.org/all/2024101835-tiptop-blip-09ed@gregkh/
Free software 最终活成了自己讨厌的模样;Linus 终于想起来了自己是个芬兰人;西方学会了「根据相关法律法规」,我们都有光明的未来
https://lore.kernel.org/all/2024101835-tiptop-blip-09ed@gregkh/
踹哈公寓
25 Oct, 04:11
https://mp.weixin.qq.com/s/FL-T0174EWzNCu3hJe1fMw
最支持🐯的一集
牢芸这个时候最不服的应该是为什么其他安全圈hr猎头也私下搞了公司员工的联系方式为什么只抓她?个人信息这个,客观上也确实有其他很多人和她一样这么操作。问题是其他人不像她一样,你特么当个中介就好好当吧,一天到晚加这么多微信,别人不愿意加你就红温了骂人家😅?一个猎头自己不懂技术的靠打信息差挣钱,自己知道自己招人嫌就立正挨打吧,咱们芸圣不行,人家“圈子里特别有人脉”,我当个中介我能骂公司我最牛,对着知道创宇的CSO上去就是开骂,神人,各路开团各路对线,安全圈里确实是知名人士,如果臭名昭著也算名的话。现在🐯终于逮到把柄了不起诉你起诉谁
至于说什么qax大公司仗着有关系找公安迫害她,有一说一我感觉人家也够意思了,签个谅解书就没事,检察院都没正式起诉,差不多就是敲打一下的意思。人家这么大个公司真想往死里整你绝对已经铁窗泪了
我之前开玩笑说qax的这个logo像个琥珀j8,🐯真小肚鸡肠记仇的话我高低得挨一个侵犯公司名誉权,感谢齐总不杀之恩
最支持🐯的一集
牢芸这个时候最不服的应该是为什么其他安全圈hr猎头也私下搞了公司员工的联系方式为什么只抓她?个人信息这个,客观上也确实有其他很多人和她一样这么操作。问题是其他人不像她一样,你特么当个中介就好好当吧,一天到晚加这么多微信,别人不愿意加你就红温了骂人家😅?一个猎头自己不懂技术的靠打信息差挣钱,自己知道自己招人嫌就立正挨打吧,咱们芸圣不行,人家“圈子里特别有人脉”,我当个中介我能骂公司我最牛,对着知道创宇的CSO上去就是开骂,神人,各路开团各路对线,安全圈里确实是知名人士,如果臭名昭著也算名的话。现在🐯终于逮到把柄了不起诉你起诉谁
至于说什么qax大公司仗着有关系找公安迫害她,有一说一我感觉人家也够意思了,签个谅解书就没事,检察院都没正式起诉,差不多就是敲打一下的意思。人家这么大个公司真想往死里整你绝对已经铁窗泪了
踹哈公寓
22 Oct, 01:45
https://www.securityjoes.com/post/the-silent-game-sophisticated-threat-actors-targeting-gambling-industry
踹哈公寓
21 Oct, 09:35
京东信息安全部招聘安全工程师实习生
【岗位要求】
实习/校招:审核src漏洞、业务系统评估渗透
1.有在各大知名漏洞平台或SRC报告漏洞的经历;
2.有个人技术博客或对开源技术有强烈的兴趣和热爱;
3.信息安全、计算机相关专业或研究方向。
【福利待遇】
1、 实习生薪资福利:实习补贴400-500/日,家庭住址+学校非京有额外1500元房补,包午餐,晚餐18:50后免费;
2、 免费健身房;
3、 工作地点:北京亦庄京东集团总部1号楼,班车遍布全城
4、26届毕业生优先
5、联系方式[email protected]
【岗位要求】
实习/校招:审核src漏洞、业务系统评估渗透
1.有在各大知名漏洞平台或SRC报告漏洞的经历;
2.有个人技术博客或对开源技术有强烈的兴趣和热爱;
3.信息安全、计算机相关专业或研究方向。
【福利待遇】
1、 实习生薪资福利:实习补贴400-500/日,家庭住址+学校非京有额外1500元房补,包午餐,晚餐18:50后免费;
2、 免费健身房;
3、 工作地点:北京亦庄京东集团总部1号楼,班车遍布全城
4、26届毕业生优先
5、联系方式[email protected]
踹哈公寓
09 Oct, 10:45
https://www.justice.gov/opa/pr/justice-department-announces-five-cases-tied-disruptive-technology-strike-force
踹哈公寓
04 Oct, 02:13
https://t.me/Oracleimpact/1264
走我这边渠道的,今年护网的款子已经全部发了,这个速度全网应该都是算快了吧
(PS:明年我也不要大学生了,以前老觉得厂家不要大学生是厂家矫情,今年一绿带四红过后我也老实了,人家不要有有人家的道理)
走我这边渠道的,今年护网的款子已经全部发了,这个速度全网应该都是算快了吧
(PS:明年我也不要大学生了,以前老觉得厂家不要大学生是厂家矫情,今年一绿带四红过后我也老实了,人家不要有有人家的道理)
4,121
subscribers
480
photos
18
videos
