信息安全渗透攻防漏洞分享

Open in Telegram

信息安全渗透测试计算机网络安全攻防技术漏洞分析研究黑客资料分享

China78 998 Technologies & Applications43 496

927

Subscribers

+124 hours

+27 days

+5530 days

213

Post views

~ 6524 hours

~ 10048 hours

22.93%

Engagement rate

No data

Posts per day

Ads index

beta

Data loading in progress...

Similar Channels

No data

Any problems? Please refresh the page or contact our support manager.

Tags Cloud

Incoming and Outgoing Mentions

---

Attracting Subscribers

June '26

in 0 channels

May '26

+87

in 0 channels

Get PRO

April '26

+95

in 0 channels

Get PRO

March '26

+94

in 0 channels

Get PRO

February '26

+80

in 0 channels

Get PRO

January '26

+106

in 0 channels

Get PRO

December '25

+107

in 0 channels

Get PRO

November '25

+118

in 0 channels

Get PRO

October '25

+93

in 0 channels

Get PRO

September '25

+134

in 0 channels

Get PRO

August '25

+125

in 0 channels

Date	Subscriber Growth	Mentions	Channels
07 June	+1
06 June	+1
05 June	+1
04 June	+1
03 June	+1
02 June	+2
01 June	+2

Channel Posts

#网络安全 #技术分享 #安全研究 #安全分享 Zcash 被发现了一个存在四年的漏洞，攻击者可以凭空生成任意数量的 $ZEC ，并且能通过网络的所有验证，系统会把这些伪造的代币当成合法交易接受，事后也无法分辨哪些是真实的、哪些是伪造的。受此影响， $ZEC 24 小时跌超 25%。今晨，Zcash 创始人 Zooko Wilcox 公开了事情经过。 Zcash 有一个叫 Orchard 的隐私池，所有通过它转账的交易都是加密的，外人看不到谁转了多少给谁。这个隐私池在 2022 年 5 月上线，一直被认为是安全的。 5 月 29 日，安全研究员 Taylor Hornby 用 Anthropic 刚发布一天的 AI 模型 Opus 4.8 做代码审计时，发现了一个严重漏洞：Orchard 的加密验证系统有一个缺口，攻击者可以伪造交易，让系统以为这笔交易是合法的。利用这个缺口，攻击者可以在 Orchard 里无限制地生成假的 zcash:native，并且由于隐私保护机制，这些假币完全无法被检测到。如果有人悄悄给自己的钱包里加任意数量的 zcash:native，整个网络都不会发现。 Hornby 当天就通知了 Zcash 开发团队。团队在五天内完成了紧急修复：6 月 2 日先临时关闭了 Orchard 的所有交易功能，6 月 3 日通过一次网络升级修复了漏洞并重新启用 Orchard。

2	现代版掩耳盗铃：Instagram AI漏洞并未被修复只是从前端隐藏界面且被黑客继续利用新时代版掩耳盗铃：Instagram AI 漏洞并未被修复，只是从前端隐藏界面而 API 端点仍然可用，于是黑客继续利用 AI 漏洞盗取账户。在 Meta 声称修复漏洞后，Meta 自家的产品管理总监 Instagram 账号也被盗，另一名逆向工程师的账号也被盗，并且还被解绑 2FA 验证。目前 Meta 尚未发布回应。	116
3	+1 智谱被供应链攻击 https[:]//autoglm[.]zhipuai[.]cn/autotyper 带码子的安装包至少被挂15h 黑包SHA256: 43acf30c9992d632fadc4aac7ce66981f6226348181c0c5961e0ee2b60e547bc 新换的白包SHA256: 16325eab330224aae950c3916ed19a10c504d3e55a14a5e64bd25c4b5093b18b	141
4	Telegram必备的搜索引擎，极搜JISOU帮你精准找到，想要的群组、频道、视频、音乐 👉 t.me/jisou2?start=a_1200135666	251
5	#网络安全 #技术分享 #安全研究 #安全分享《如何通过一次点击接管主要平台上的任意账户 — 一个客户端路径遍历故事》 intro：我想跟你们讲讲那个晚上，我盯着屏幕看了太久，一直以为自己什么也没看到——然后突然意识到，我其实看到了所有的一切。这是我如何发现一个大型平台上的一键式账户接管漏洞的故事。这个漏洞利用了三个看似无关紧要的弱点，却能彻底摧毁受害者的账户。只需一个精心设计的链接，受害者只需点击一下，账户即可完全被接管。密码重置后，账户将被永久锁定。我通过 HackerOne 报告了这个漏洞，并获得了2500 美元的赏金。该漏洞现已修复。	280
6	#网络安全 #技术分享 #安全研究 #安全分享 #情报《回调地狱：滥用回调、尾调用和代理帧来混淆堆栈》 > 我正在使用 TpAllocWork + TpPostWork 来执行一个任意函数，但我不太确定如何获取返回值。有什么办法吗？ >这个问题让我想起了我之前做过的一些实验，但因为懒惰而搁置了。我决定重新审视它们，再试一次。你在这篇博文中看到的，就是我重新努力的成果，也是我尝试解决这个问题的成果，后来我把它整合到了我的堆栈欺骗研究中。这项工作最终没有被纳入最终的演讲内容，原因有几个，主要是因为我认为它并没有实质性地推进研究，也没有提供有意义的额外用途。	204
7	+1 #网络安全 #技术分享 #安全研究 #安全分享 #情报一个网名为“Euphoric_Reply_5727”的用户在一个知名的网络犯罪论坛上发布了出售信息，声称其拥有3.4亿条OnlyFans用户记录。卖家将该数据库标价0.313个比特币，约合7.6万美元（截至发稿时）。根据论坛帖子，该合集据称包含从“OnlyFans 内部数据库”提取的数据，包括个人信息、帐户活动指标、关联的社交媒体个人资料和付款相关详情。 links	173
8	#网络安全 #技术分享 #安全研究 #安全分享 #OSINT 功能强大的二合一 OSINT 套件，结合了深度电子邮件 OSINT和全面的用户名扫描。凭借205 多个扫描向量（包括100 多个电子邮件集成网站和105 多个用户名平台），您可以在几秒钟内识别数字足迹或验证帐户注册。只需一条命令，即可在 GitHub、X、Reddit、Instagram 等平台查找唯一用户名。 links	157
9	Claude 代码技能包，用于漏洞赏金狩猎与外部红队行动 51 项进攻性安全技能 + 15 个斜杠命令 • 基于 574+ 公开的 HackerOne 风格报告模式训练 • 涵盖 XSS、SSRF、SQLi、OAuth、JWT、GraphQL、RCE、IDOR 及 API 滥用 • 针对 M365、Okta、VPN、SharePoint 及 vCenter 的企业级攻击链 • 内置侦察、漏洞利用链、分类、证据卫生及报告 links	171
10	APKPure 上的 Telegram 官方版被植入间谍后门从 APKPure 下载的 Telegram 12.6.5 被重新签名打包，注入了名为 DataCollector 的间谍框架（classes3.dex，3000+行代码）。后门可窃取：全部聊天记录（含历史消息）、通讯录、手机相册、文档文件、GPS 定位、SIM 卡信息。数据经 AES-GCM 加密后上传至 C2 服务器 38.190.225.166。 links	164
11	#网络安全 #技术分享 #安全研究 #安全分享苹果公司耗时五年、投入数十亿美元开发 MIE ——该硬件内存安全机制可有效防御M5芯片的内核漏洞攻击。一个小型团队联合Mythos Preview AI在5天内发布了首个公开版本：仅提供数据访问权限的用户可在启用 MIE 功能的M5 macOS系统上获得root权限。 links	279
12	Indicators of Compromise Initial MSI files (Tralert FX App) 384255ba8bea8997dce5a6a9c4b4352279343000821128342e6960dbcc14bbe0 528b004407d32bbc6299540a7a9fd98a3037070d34b56f14813aaaa29820b13d eaba341f94e700ff470e7a8fb3fe596f601ff54a8415103fa102520ec4bbd5e9 3c356065e32ac8cbc6ec330581c7c343bf2d5567695f3a015a0ae95908a7ed6b Domains Tralert[.]online Tralert7[.]com Trumpalert[.]store Tralert[.]site Tralert[.]store Talert[.]site Talert[.]store Talert[.]online Talert[.]space endava[.]online GitHub repos github[.]com/vergiegpham/ADS_Analitics github[.]com/Fujinuma0804/Tralert IP addresses 161.97.113[.]34 91.107.246[.]107 Email addresses possibly belonging to the TA vergiegpham@gmail.com handgoldlove@gmail.com handgoldlove119@gmail.com rur243@proton.me (from gitlab ekek2-group/ekek2-log-project repo)	342
13	#网络安全 #技术分享 #安全研究 #安全分享 #朝鲜《VELVET CHOLLIMA 利用交易应用程序作为诱饵进行信息窃取活动》 Hybrid Analysis发现了一款名为 Tralert FX 的低检测率恶意安装程序，它伪装成合法的加密货币交易应用程序。该样本是一个 100 MB 的 Windows MSI 文件，于 2026 年 3 月提交至 VirusTotal，但检测率仅为 3/52。如此低的检测率主要是由于其拥有一个有效的 EV 代码签名证书，该证书颁发给了疑似幌子公司 AgilusTech LLC。最初看似例行的低置信度检测，很快升级为揭露了一场复杂的、长期的、多阶段的信息窃取活动，其基础设施涵盖五个 GitLab 存储库、一个专用 C2 服务器和一个加密货币交易诱饵域名网络。	291
14	公告: 因群组中出现找人接单的情况屡次出现，为避免出现诈骗、钓鱼等情况，现取消任何关联群组，此频道也不会有任何的讨论群和其他联系方式。请有免杀需求的和定制免杀的请联系如下唯一联系方式，请阐明您的需求请认准我的唯一联系方式:@lammyu	464
15	+1 #网络安全 #技术分享 #安全研究 #安全分享《Themida 的静态去虚拟化》 Themida 的虚拟机架构与 VMProtect 的主要区别在于其对嵌套虚拟化的支持。这是因为虚拟机上下文和虚拟栈位于二进制文件内部，而不是像 VMProtect 那样位于原生栈上。本文不会深入探讨该架构，因为它与去虚拟化方法关系不大。这里唯一重要的虚拟机特定组件是虚拟分支和 VMEXIT 行为，这两者将在各自的章节中进行介绍。有关 Themida 架构的详细分析。	439
16	+2 #网络安全 #技术分享 #安全研究 #安全分享使用 Hyper-V 从用户模式控制 Ring-1 // HyperVenom 演示了如何利用轻量级的共生有效载荷绕过 Ring 0 的可见性，而不会造成遥测数据会检测到的时序或性能问题。	422
17	狗狗币新项目，撸空投 https://heist.dogeos.com/loyalty?referral_code=5RCZWQVT	374
18	+1 #网络安全 #技术分享 #安全研究 #安全分享《混淆视听：混乱勒索软件背后的国家支持阴影》此次攻击活动的特点是利用 Microsoft Teams 进行高互动性的社会工程攻击阶段。攻击者利用交互式屏幕共享功能窃取凭据并操纵多因素身份验证 (MFA)。入侵成功后，该组织绕过了传统的勒索软件工作流程，放弃了文件加密，转而通过 DWAgent 等远程管理工具窃取数据并实现长期持久化。本报告将剖析感染链，并分析定制的“Game.exe”远程访问木马 (RAT)。	447
19	Telegram必备的搜索引擎，极搜JISOU帮你精准找到，想要的群组、频道、视频、音乐 👉 t.me/jisou?start=a_1200135666	0
20	+3 #网络安全 #技术分享 #安全研究 #安全分享 homelable 自托管家庭实验室基础设施可视化工具——带实时状态监控的交互式网络图	0

View all posts