1.Hashtopolis: 分布式Hashcat

Hashtopolis是一个多平台客户端 - 服务器工具，用于将hashcat任务分发给多台计算机。Hashtopolis开发的主要目标是便携性、健壮性、多用户支持和多组管理。该应用程序有两个部分：

• 代理多个客户端（C＃，Python），可定制任何需求。

• 服务器在两个端点上运行几个PHP / CSS文件：管理GUI和代理连接点





参考链接：

https://www.kitploit.com/2018/04/hashtopolis-hashcat-wrapper-for.html

2.tinfoleak：Twitter智能分析开源工具

tinfoleak是OSINT（开源智能）和SOCMINT（社交媒体智能）领域内的开源工具，可以自动提取Twitter上的信息并生成后续的分析。tinfoleak会提取Twitter上的时间、用户标识符、地理坐标或关键字等大量的数据，并向情报分析人员显示有用的结构化信息。



参考链接：

https://github.com/vaguileradiaz/tinfoleak

3.Atomic Red Team：自动化框架

Atomic Red Team项目描述了MITRE ATT＆CK框架的策略和技术，包括这些技术的自动化。

参考链接：

https://twitter.com/Lee_Holmes/status/985871951833980928

4.pyt ：检测 Python Web 应用安全漏洞的静态扫描工具

pyt用于静态分析Python web漏洞，可检测命令注入、SQL注入、XSS、目录遍历、控制流图、获得def-use或use-def链等。

参考链接：

https://github.com/python-security/pyt

5.subfinder子域名枚举工具

SubFinder使用被动源、搜索引擎、Pastebins、Internet Archives等来查找子域，然后使用类似altdns的排列模块生成排列，从而枚举出更多的子域名，Altdns通过更改和排列发现子域名的工具。

参考链接：

https://github.com/Ice3man543/subfinder

1. 逆向 Sony 智能相机应用(PMCA)

最新的索尼相机包括一个Android子系统，用于运行专有Sony PlayMemories相机应用程序商店（PMCA）的应用程序。此项目提供的工具允许您在相机上安装自定义Android应用程序。

参考链接：

https://github.com/ma1co/Sony-PMCA-RE

2.WMIC.EXE白名单绕过

WMIC可以在本地或通过URL调用XSL（可扩展样式表语言）脚本。

参考链接：

https://twitter.com/subTee/status/986234811944648707

3.DoxyCannon:ip隐藏

DoxyCannon的名字来自ProxyCannon，它是一个脚本，用于实例化云基础架构，通过它可以代理请求。结合代理链或DoxyCannon自己的DoxyProxy等工具，您可以通过本地代理对每个请求进行洗牌，从而屏蔽攻击机器的真实IP。

参考链接：

https://sec.alexflor.es/post/password_spraying_with_doxycannon/

1.CVE-2018-1037 漏洞细节

微软编译器 mspdbcore.dll 在生成 .pdb 文件时泄漏了部分堆内存(CVE-2018-1037) ，影响Microsoft Symbol Server。

参考链接：

https://bugs.chromium.org/p/project-zero/issues/detail?id=1500

2.Apple safari浏览器漏洞细节

Apple Safari - Wasm Section Exploit ，Apple Safari Web Assembly (Wasm) 对自定义区段处理不当导致的远程代码执行漏洞的分析与利用。

参考链接：

https://labs.mwrinfosecurity.com/assets/BlogFiles/apple-safari-wasm-section-vuln-write-up-2018-04-16.pdf