1.Hashtopolis: 分布式Hashcat
Hashtopolis是一个多平台客户端 - 服务器工具,用于将hashcat任务分发给多台计算机。Hashtopolis开发的主要目标是便携性、健壮性、多用户支持和多组管理。该应用程序有两个部分:
代理多个客户端(C#,Python),可定制任何需求。
服务器在两个端点上运行几个PHP / CSS文件:管理GUI和代理连接点
参考链接:
https://www.kitploit.com/2018/04/hashtopolis-hashcat-wrapper-for.html
2.tinfoleak:Twitter智能分析开源工具
tinfoleak是OSINT(开源智能)和SOCMINT(社交媒体智能)领域内的开源工具,可以自动提取Twitter上的信息并生成后续的分析。tinfoleak会提取Twitter上的时间、用户标识符、地理坐标或关键字等大量的数据,并向情报分析人员显示有用的结构化信息。
参考链接:
https://github.com/vaguileradiaz/tinfoleak
3.Atomic Red Team:自动化框架
Atomic Red Team项目描述了MITRE ATT&CK框架的策略和技术,包括这些技术的自动化。
参考链接:
https://twitter.com/Lee_Holmes/status/985871951833980928
4.pyt :检测 Python Web 应用安全漏洞的静态扫描工具
pyt用于静态分析Python web漏洞,可检测命令注入、SQL注入、XSS、目录遍历、控制流图、获得def-use或use-def链等。
参考链接:
https://github.com/python-security/pyt
5.subfinder子域名枚举工具
SubFinder使用被动源、搜索引擎、Pastebins、Internet Archives等来查找子域,然后使用类似altdns的排列模块生成排列,从而枚举出更多的子域名,Altdns通过更改和排列发现子域名的工具。
参考链接:
https://github.com/Ice3man543/subfinder
1. 逆向 Sony 智能相机应用(PMCA)
最新的索尼相机包括一个Android子系统,用于运行专有Sony PlayMemories相机应用程序商店(PMCA)的应用程序。此项目提供的工具允许您在相机上安装自定义Android应用程序。
参考链接:
https://github.com/ma1co/Sony-PMCA-RE
2.WMIC.EXE白名单绕过
WMIC可以在本地或通过URL调用XSL(可扩展样式表语言)脚本。
参考链接:
https://twitter.com/subTee/status/986234811944648707
3.DoxyCannon:ip隐藏
DoxyCannon的名字来自ProxyCannon,它是一个脚本,用于实例化云基础架构,通过它可以代理请求。结合代理链或DoxyCannon自己的DoxyProxy等工具,您可以通过本地代理对每个请求进行洗牌,从而屏蔽攻击机器的真实IP。
参考链接:
https://sec.alexflor.es/post/password_spraying_with_doxycannon/
1.CVE-2018-1037 漏洞细节
微软编译器 mspdbcore.dll 在生成 .pdb 文件时泄漏了部分堆内存(CVE-2018-1037) ,影响Microsoft Symbol Server。
参考链接:
https://bugs.chromium.org/p/project-zero/issues/detail?id=1500
2.Apple safari浏览器漏洞细节
Apple Safari - Wasm Section Exploit ,Apple Safari Web Assembly (Wasm) 对自定义区段处理不当导致的远程代码执行漏洞的分析与利用。
参考链接:
https://labs.mwrinfosecurity.com/assets/BlogFiles/apple-safari-wasm-section-vuln-write-up-2018-04-16.pdf