ZONE.CI 全球网

前言
YXcms是一个代码审计入门级的cms,比较适合想我这样的小白玩家进行操作。。。
我一直想尝试审计一个cms，但是因为各种原因，一直搁置了。
尝试分析一下

前言
记录下第二届网鼎杯白虎组的部分wpMisc签到
打开页面发现是一个游戏界面，查看源代码中的js文件，发现了一个ajax请求：
setTimeout(fun

PWN云盾
题目基本信息：保护全开，ubuntu16.04上的64位PWNradish ➜ pwn1 file pwn
pwn: ELF 64-bit LSB

前言：对已知的SQL注入手段作了较为全面和详尽的整理，大概是我几年的全部积累了，虽然可能有许多遗漏的地方，但我相信还是很有参考价值的。
本文的注入场景为：一、基

0x00 概述
在一系列可以追溯到2019年11月的恶意垃圾邮件活动中，某未确认身份的组织发送诸多安装程序，用以投递RAT及窃取受害者计算机信息的恶意软件。
我

前言
记录下网鼎杯第三场朱雀组的wp，主要是web。Misc签到
日常做游戏得到flag九宫格
打开压缩包 ，得到了好多的二维码
利用工具批量解码：发现结果都是

前言
最近在学习基于机器学习的入侵检测系统，需要用到大量得网络安全数据集。了解到由加拿大网络安全研究室基于java开发的开源工具Cicflowmeter。该工具

Dynamic Analysis for IoT Malware Detection With Convolution Neural Network Model

1. 概述
DDG Mining Botnet 是一个活跃已久的挖矿僵尸网络，其主要的盈利方式是挖 XMR。从 2019.11 月份至今（2020.4），我们的

国外的一场比赛，好多题没写出来，赛后这几天从github上下了dockerfile 复现学习一下。web题很新颖，基本上都是nodejs写成，且除几个题外都给了

攻击者面对代码完整性(Code Integrity, CI)和控制流保护(Control Flow Guard, CFG)等防止内存损坏的安全技术时，通常会将他

漏洞 Vulnerability.CVE-2020-1300: CAB文件远程代码执行漏洞
https://www.zerodayinitiative.com/

前言
一个安静的下午，和往常一样，逛着各大安全论坛，翻看新出的漏洞资讯，等待着下班。然而，一声不同寻常的微信消息提示音突然在我耳边响起。我立马打开微信看看是谁在

作者：Hu3sky@360CERT
0x01 漏洞简述
2020年06月08日，360CERT监测到 IBM官方发布了 WebSphere远程代码执行 的风险通

0x00 前言
前些天刚刚学完常见对称加密算法原理，故找来一勒索病毒练手。其中如有不当之处，望读者指正，笔者感激不尽。0x01 样本分析
病毒使用到所有函数名称

0x00写在前面在互联网时代并未向现在如此普及的情况下，工控设备之间的通信，是采用无线电和电缆进行的。
但随着时代的发展，人们对工控的传统通信方式逐渐产生不满。

复现环境
物理机：MacOS
工具：VM，Firefox，JD-GUI，BurpsuiteCVE-2018-16116漏洞介绍
Sophos XG firewa

0 环境与背景知识0.1 环境首先搜一下在chrome的bug库中找到对应的issue号
从下面的评论中找到了对应的含有漏洞的v8版本还原到parent版本下图

本文报告了新加坡OpenTrace应用程序传输到后端服务器的实际数据的分析结果，以评估对用户隐私的影响。已经对OpenTrace应用程序以及在新加坡部署的相关封

什么是Living off the land Binaries？
Living off the land Binaries简称LoLbins。Living of

概述
最近，我们通过 Anglerfish 蜜罐捕获到一个利用 Docker Remote API 未授权访问漏洞来传播的 Go 语言编写的恶意后门程序，鉴于它

用DNS数据做安全
DNS协议作为互联网的基础和核心协议，其承载的数据在一定程度上能够反映使用域名提供服务的业务发展情况。使用了DNS服务的恶意行为也不例外，对

0x00 360Quake牛刀小试
在对某厂商进行授权安全测试时，苦于寻找资产，于是决定利用网络空间测绘系统来看看有没有奇效。
刚好近期看到360发布了Quak

今天分享一个IRTeam工控安全红队自己搭建的工控PLC的研究环境，为了让工控安全研究人员，更加贴近真实的工控环境，这次IRTeam采用著名德国3S公司的Cod

背景
本文是介绍DNSMon在生产威胁情报(域名IoC)系列文章的第二篇。
为了对抗安全人员的分析，钓鱼域名是恶意样本经常采用的一种技术手段。从字符组成和结构上