利用 OpenWrt + 定时任务实现网站自动签到并推送通知

### 结论 脚本存在高危敏感信息泄露风险(明文密码/Server酱KEY)、SSL/TLS验证绕过、异常场景处理不足等漏洞,需进行安全加固。攻击面主要集中在凭证存储、网络请求、异常日志三个环节,建议优先修复验证绕过和凭证保护。---### 分析路径(Source-Sink视角) #### L1 攻击面识别 1. **敏感数据源** - `USERNAME`, `PASSWORD`, `ANSWER`, `SCKEY`直接硬编码在脚本中,文件权限失控可能导致凭证泄露。 - Server酱推送的` ...

研究人员仅在45秒内就破解搭载联发科芯片的安卓机 可解密所有数据

法国加密货币硬件钱包 LEDGER 旗下的安全研究团队日前公布联发科芯片中的安全漏洞,该漏洞已经提前通报给联发科,在已经完成漏洞修复后才公布安全报告。研究人员使用 Nothing CMF Phone 1 作为测试机,在演示中研究人员将这台测试机连接到笔记本电脑,随后在仅 45 秒内就自动获取设备 PIN 码并解密存储空间获得所有数据。作 ...

2026-03-13 16:17:13 0 0

OpenSSH GSSAPI漏洞可致SSH子进程崩溃

大量Linux发行版在基于其OpenSSH软件包应用GSSAPI密钥交换补丁时引入了一个重要漏洞。该漏洞被追踪为CVE-2026-3497,由安全研究员Jeremy Brown发现。攻击者只需发送一个精心构造的网络数据包,即可可靠地导致SSH子进程崩溃,并可能突破权限分离边界。漏洞根源在于服务器端GSSAPI密钥交换处理程序kexgsss.c中的一行代码缺陷 ...

2026-03-13 11:39:44 1 41

因遭受伊朗黑客组织Handala的删库跑路,美国医疗设备巨头Stryker业务完全停摆

这是1起具有里程碑意义的网络战事件,标志着地缘政治冲突正式大规模蔓延至全球关键医疗供应链。包括《华尔街日报》、美联社、TechCrunch 及爱尔兰 RTE 新闻在内的多家权威国外媒体对此进行了详细报道,确认了伊朗关联黑客组织"Handala"对史赛克(Stryker)发动了旨在数据擦除而非勒索的攻击,导致其全球业务短暂停摆。根据 ...

2026-03-13 10:34:01 2 46

微软 Office 严重漏洞可导致远程代码执行攻击

2026 年 3 月 10 日,微软发布了安全更新,以解决其广泛使用的 Office 套件中的一个严重漏洞。该安全漏洞编号为 CVE-2026-26110 ,允许未经授权的攻击者在受害者的设备上执行恶意代码。该漏洞严重性评级高,CVSS 基本得分为 8.4 分(满分 10 分),会影响 Windows、Mac 和 Android 平台上的各种 Microsoft Office 应用程序 ...

2026-03-13 01:03:14 1 97

微软活动目录域服务漏洞可致攻击者权限提升

3月10日发布的“重要”安全更新修复了活动目录域服务中的一个高危漏洞。该漏洞被追踪为 CVE-2026-25177,CVSS 评分为 8.8。它允许经过授权的网络攻击者将其权限提升至完全的 SYSTEM 控制权。此权限提升漏洞源于对文件和资源名称的限制不当(CWE-641)。该攻击完全通过网络进行,所需权限极低,攻击复杂度低,且无需用户交互 ...

2026-03-12 09:38:20 1 158

疑似伊朗的Dust Specter组织正在针对伊拉克政府官员,通过恶意软件对他们进行网络攻击

(一) 组织背景活动时间线‌:首次公开活动始于2026年1月开始针对伊拉克政府官员发起定向攻击,此前无公开记录,其为新兴黑客组织。技术演进特征‌:该组织是首批被证实系统性利用‌生成式人工智能‌辅助恶意软件开发的APT组织之一,显著提升了钓鱼内容生成、代码混淆与攻击载荷定制的效率与隐蔽性。(二) 目标人群‌核心目标 ...

2026-03-12 09:11:23 1 133

热门活动

T00ls专家

zcgonvh

荣誉会员

文章27篇,精华12篇

1

Twi1ight

潜水会员

文章41篇,精华11篇

2

Rices

潜水会员

文章154篇,精华5篇

3

Bypass

荣誉会员

文章26篇,精华5篇

4

Hmily吾爱破解论坛创始人,著名逆向破解专家

潜水会员

文章18篇,精华4篇

5

ph12h0n

潜水会员

文章40篇,精华4篇

6

lyxhh

潜水会员

文章85篇,精华4篇

7

panda

荣誉会员

文章43篇,精华3篇

8

backlion

注册会员

文章31篇,精华3篇

9

tryblog

版主

文章31篇,精华3篇

10

最新精华

渗透测试利用影子认证帧在标准CAN上实现防重放的技术方案

一个几乎百搭、不改架构、低成本就能落地的整车防重放方案,不是 ...

2025-09-05 18:02:54 8 282

渗透测试浏览器劫持-另类篇

### 前言最近遇到一个项目,在提取浏览器信息时要么提取后乱码要 ...

2025-08-22 11:20:36 19 831

渗透测试分享一次JS自动化加解密过Sign实战经验

本次实战中使用到了jsrpc+autoDecoder+v_jstools实现了JS无感自 ...

2025-07-28 07:47:08 28 1231

逆向破解WinOS银狐远控多重后门浅析

# 前言我在t00ls发布了获取到的WinOS源码第二天,大佬@WBGlIl就 ...

2025-06-27 22:58:11 20 665

逆向破解白加黑dll劫持维权

权限维持及免杀现在越来越难了 有时候可以结合目标环境做一些dll ...

2025-05-12 15:32:11 12 515

Hibernate HQL注入攻击入门

SQL注入是一种大家非常熟悉的攻击方式,目前网络上有大量存在注入漏洞的DBMS(如MySQL,Oracle,MSSQL等)。但是,我在网络上找不到针对Hibernate查询语言的相关资源。因此本文总结了笔者在阅读文档和不断试验过程中的一些经验技巧。什么是HibernateHibernate是一种ORM框架,用来映射与tables相关的类定义(代码),并包含一些高级特性,包括缓存以及继承,通常在Java与.NET中使用(可参 ...

Top ↑