证券简称:天融信   证券代码:002212
安全通告
首页 > 技术支持 > 安全通告

每日攻防资讯简报[Apr.26th]

发布时间:2021-04-26查看次数:133
分享到

0x00漏洞

1.在Askey TCG300电缆调制解调器中发现的漏洞,可通过Web管理服务器执行经过身份验证和未经身份验证的远程代码

https://quentinkaiser.be/security/2021/04/25/orange/

2.在私有错误赏金计划中发现的不寻常的HTML注入错误的Writeup

https://infosecwriteups.com/the-peculiar-case-of-html-injection-d14db8440e3

0x01工具

1.bn-uefi-helper:Binary Ninja插件,用于分析UEFI固件

https://github.com/zznop/bn-uefi-helper

2.SharpNoPSExec:无文件命令执行,实现横向渗透

https://github.com/juliourena/SharpNoPSExec

3.OverRide:二进制漏洞利用和逆向(从汇编到C)

https://github.com/anyaschukin/OverRide

4.Invoke-SharpLoader:从远程Web服务器或本地文件直接将加密和压缩的C#代码加载到内存中并在其中执行

https://github.com/S3cur3Th1sSh1t/Invoke-SharpLoader

5.可以在hypervisor研究中使用一些说明+模板,以进行全面利用,或验证/伪造您在审核代码时可能做出的任何假设

https://github.com/farazsth98/hypervisor_exploit_templates

0x02恶意代码

1.恶意代码分析:释放NJRat的VBScript

https://www.youtube.com/watch?v=5HukiHbK96E

0x03技术

1.Github.com的Release功能可被用于供应链攻击

https://wwws.nightwatchcybersecurity.com/2021/04/25/supply-chain-attacks-via-github-com-releases/

2.逆向老式OR / NOR芯片

http://www.righto.com/2021/04/reverse-engineering-vintage-ornor-chip.html

3.Windows上浏览器漏洞利用:理解UAF漏洞

https://connormcgarr.github.io/browser1/

4.GraphQL攻击,Part2:方法论和示例

https://busk3r.medium.com/hacking-graphql-for-fun-and-profit-part-2-methodology-and-examples-5992093bcc24

5.学习跨站点脚本攻击和找到它们的方法

https://xcheater.medium.com/all-about-cross-site-scripting-xss-406a2db6c330

6.包含我的“学习365挑战”期间共享的所有信息

https://github.com/harsh-bothra/learn365

7.XXE:从零到英雄

https://newrouge.medium.com/xxe-from-zero-to-hero-b38118750556

8.使用QiLin框架脱壳PE文件

https://nahueldsanchez.com.ar/Playing-with-PE-Files-Packers-and-Qiling-Framework/