红队视角下的AzureAD攻防 　　‍ AzureAD/Azure/AD 　　Azure AD，是微软提供的一种基于云的身份和访问管理 (IAM) 解决方案。它可以帮助组织安全地管理员工、合作伙伴和客户对应用程序和资源的访问。 　　注:2023 年 6 月 21 日起，Azure AD，现在正式更名为 Microsoft Entra ID，但是以下，我还是将他称为 AzureAD。 　　Microsoft Azure ID 的主要功能包括： 身份验证和授权： 验证用户身份并控制他们对资源的访问权限。 单点登录 (SSO)： 用户使用一组凭据...

0x00 项目背景与前提 0.1 项目场景 最近接了个钓鱼演练的活，整的焦头烂额，连续爆肝两天，我的主要目标是通过社会工程学手段测试企业员工的安全意识和邮件网关的防护能力。客户环境如下： 目标规模: 5000+ 员工，多个事业部 邮件系统: coremail 防护措施: 未知 0.2 初始工具选择 作为穷人，公司也并没有提供商业工具，我选择了 Gophish 作为基础钓鱼平台，原因如下： ✅ 开源且成熟稳定 ✅ 支持完整的项目管理 ✅ 内置邮件追踪和统计 ✅ Go语言开发，便于二次开发 0.3 ...

📌 为什么需要这个方案？ 你是否遇到过这些痛点： Bark 只能在 iOS 用，Android 备机收不到通知？ 想在电脑上同步看到 GitHub 的构建结果？ Bark 的通知样式太丑，无法自定义？ 需要一个跨平台的统一通知中心？ 起因是 Bark 只支持 iOS，对于 iOS 的状态推送来说，Bark 确实是接收服务器通知的神器。但是我的主力是 Android，我需要定制化一个推送消息提醒。 查了一下后台刚好支持使用 Webhook，我决定利用 Cloudflare Workers 和 Telegram Bot，搭建一套完全免费、支持全...

!WARNING] 法律声明：本文档仅供学习研究用途。破解商业软件可能违反软件许可协议和相关法律法规。建议通过官方渠道获取合法授权。 目录 [概述 环境准备 Nessus 安装 激活方法 官方激活流程 离线激活 破解激活 插件更新 在线更新 离线插件更新 [常见问题排查](#常见问题...

简介: 本教程将带你从一台空白服务器开始，搭建一套基于 MixSpace (后端) 和 Shiro (前端) 的现代化个人博客系统。我们将采用 Docker 部署后端 + GitHub Actions 自动构建前端 的最佳实践方案。 适用人群: 有基础 Linux 操作能力的博客爱好者 所需时间: 约 30-60 分钟 仅仅适用于赞助（闭源）系统，官方有docker不适用于这套操作，望知悉。 🛠️ 第一章：准备工作 在开始之前，请确保你拥有： 一台 VPS 服务器 推荐配置：2核 ...

有关SPF邮件信息伪造的内容 为什么我能假冒你们 CEO 发邮件？（即便你以此为豪配置了 SPF） 很简单的一件事，就是客户的域名配置了SPF，但是给的是软策略，基本上邮件都能通过，今天被监管通报了。 大概差不多就是这样吧，图是我后面补的。 关于邮件这一块我也了解得不深，基本不会遇到这种有效的漏洞，这次恰好测试就干脆记录一下。 有关SPF的查询...

John暴力破解忘记的Excel密码 我朋友问我有一个很重要的excel忘记密码了，能不能找回来了，对他很重要，我记得老早之前hashcat是可以破解的，顺便查了一下，记录一下用法。 简单叙述如何使用强大的密码破解工具 John the Ripper (JtR) 来恢复忘记密码的 XLSX 文件，覆盖 John 的几种核心破解模式。 前提条件 John the Ripper: 确保你已经下载并解压了 John the Ripper。强烈推荐使用社区增强版 "Jumbo John"，因为它支持更多的哈希类型和 GPU 加速。[https://github...

一键暴力无脑通杀非SO层加密算法 1 测试一个APP,发现存在各种模拟器、代理检测之后终于可以能正常抓包了，抓包中又发现了一个难解的问题，就是对请求中的账号和密文信息进行加密了。 2 用算法助手HOOK一下该APP，算法助手使用如下： 首先启用LSP框架，作用域需要选择系统框架和需要调试的APP。 算法助手中的设置打开算法分析...

泄露地图AK一键检测利用 背景 在一次APK反编译的时候发现存在一个关于map的KEY，试了几个接口无法调用成功，具体不知道哪个对应的接口和服务，于是配合GPT写了这份代码，旨在实现自动化AK利用。 代码 `python #!/usr/bin/env python3 -- coding: utf-8 -- import re import argparse import requests import random import time import certifi import json import traceback import os from ...

对一个微信小程序软件的逆向 对一个微信小程序软件的逆向 ‍ 0x01 因为最近有反编译微信小程序的需求，用了一个工具发现还不错，但是过了几天弹出了收费需求，感觉验证挺简单的。尝试破解一下。 因为运行之后在主程序上这是一个窗口，我不太懂逆向，根据我能理解的一点知识，我觉得或许能够将这个窗口给 push 掉。 ‍ 0X02 看到文...