谷歌发布slsa新框架以防止软件供应链攻击,谷歌提出了一种解决方案,以确保软件包的完整性并防止未经授权的修改,SLSA 的灵感来自公司自己的内部执行机制,称为Borg 的二进制授权,这是一套审计工具,用于验证代码出处并实施代码身份,以确定部署的生产软件是否经过适当审查和授权
Read more
暗网|黑客|极客|渗透测试|专注信息安全|数据泄露|隐私保护
谷歌发布slsa新框架以防止软件供应链攻击,谷歌提出了一种解决方案,以确保软件包的完整性并防止未经授权的修改,SLSA 的灵感来自公司自己的内部执行机制,称为Borg 的二进制授权,这是一套审计工具,用于验证代码出处并实施代码身份,以确定部署的生产软件是否经过适当审查和授权
Read more
cobalt strike特征隐藏|修改默认端口|去除证书特征|混淆配置,编辑文件teamserver进行启动项修改,Cobalt Strike默认的证书,已经被waf厂商标记烂了,我们要重新生成一个新的证书,这里我们用JDK自带的keytool证书工具来生成新证书。
Read more
CobaltStrike上线隐藏|DNS|CDN|云函数,一般我们拿到的shell都是,对出网有限制的,一般只能DNS出网,这时候就要用到我们 DNS 协议建立 C2 通信。,一般waf不会分析DNS流量,这一点也是能够隐蔽的特性。
Read more
SSH横向移动备忘单|ssh内网横向渗透技巧,手动查找SSH密钥,搜索包含SSH密钥的文件,破解SSH密钥,SSH密码后门,SSH代理转发劫持,检查主目录和私钥文件的明显位置,使用ControlMaster 进行SSH劫持
Read more
Arkhota-适用于Android的网络账号密码暴破工具,适用于Android的Web(HTTP/S)暴力破解器手机引起的注意力更少,可自定义user-agent,可自定义密码字典,或生成密码字典,攻击成功提示音,可POST/GET提交数据
Read more