火狐浏览器uXSS和CSS XSS；archaeologit：指定GitHub仓库的敏感信息泄露扫描工具

姿势

1.利用CSS触发XSS漏洞

参考链接：

https://twitter.com/LurisJame/status/1005603820599062531

2.火狐浏览器uXSS 和 CSS XSS

在2006年发现的bug再次回归到火狐浏览器上，研究人员发现基于 CSS 的 XSS漏洞， 并利用成 FireFox uXSS 漏洞。

参考链接：

https://leucosite.com/Firefox-uXSS-and-CSS-XSS/

3.通过可写文件提升Linux权限的多种方式

使用非root用户执行命令：find / -writable -type f 2>/dev/null | grep -v "/proc/"，可以枚举出所有具有可写权限的二进制文件。当存在有可写权限的二进制文件时，有以下5种方法提升权限。

参考链接：

http://www.hackingarticles.in/multiple-ways-to-get-root-through-writable-file/

4.使用 msdt.exe 绕过 UAC 的技巧

参考链接：

https://gist.github.com/homjxi0e/3f130f2ecb270e705afdd5d2955e8b7d

工具

1.wifite2：自动无线攻击工具

wifite2重写了wifite，使用Python语言编写。wifite是一款自动化wep、wpa以及wps破解工具，可以同时攻击多个采用wep和wpa加密的网络，并且支持自动化运行。

参考链接：

https://github.com/derv82/wifite2

2.Hash-Buster v2.0：调用多个API来进行hash查询

特点：自动散列类型标识；支持MD5，SHA1，SHA2；可以从文件中提取＆破解哈希；可以递归地从目录中找到哈希；6个强大的API。

参考链接：

https://github.com/s0md3v/Hash-Buster

3.archaeologit：指定GitHub仓库的敏感信息泄露扫描工具

archaeologit用于扫描指定 GitHub 仓库历史记录，寻找是否存在敏感信息泄露。

参考链接：

https://github.com/peterjaric/archaeologit

Gpredict是一个实时卫星跟踪和轨道预测应用程序。它可以跟踪大量卫星，并在列表，地图和极坐标图（雷达视图）中显示其位置和其他数据。

参考链接：

https://www.kitploit.com/2018/06/gpredict-satellite-tracking-application.html

资讯

1.ALC WebCTRL XML 外部实体注入漏洞披露(CVE-2018-8819)

WebCTRL是一套能够提供动态直观用户界面和强劲控制功能的楼宇自动化系统。WebCTRL版本6.0,6.1和6.5存在XML外部实体注入漏洞，允许攻击者引用XML payloads的X-Wap-Profile HTTP头控制系统应用的网络通信。

参考链接：

http://seclists.org/fulldisclosure/2018/Jun/21

2.从2001年到2017年搜集的388篇有关安全的学术论文

参考链接：

https://grsecurity.net/research.php

3.大量安卓设备开启 ADB 调试并可通过 5555 端口连接

在shadon搜索引擎上可以发现大量在Android设备都开启了5555端口，并且允许通过互联网连接到设备。Android Debug Bridge (ADB ），允许开发者与设备进行远程通信，来执行命令和完全控制该设备。

参考链接：

https://doublepulsar.com/root-bridge-how-thousands-of-internet-connected-android-devices-now-have-no-security-and-are-b46a68cb0f20

欢迎酷爱技术的你来破壳交流。