简介

新春伊始，为响应新年还在学习的小伙伴们的积极性，安全客特在2016年刊中藏彩蛋数枚，真金白银，最先发现任意彩蛋的同学可获得200元现金奖励。活动详情：http://bobao.360.cn/news/detail/3948.html  。很多同学已经领取了红包奖励，但至活动结束仍有部分彩蛋没有被发现，现将全部彩蛋揭秘，更多详情，请看下文。

二维码彩蛋

2016年安全技术文章合辑（上）==>安全工具==>《巡风–企业安全漏洞快速应急、巡航系统》

文章末尾（第362页）出现不明二维码一枚，扫描获得flag。

直播彩蛋

2016年安全技术文章合辑（下）==>物联网、车联网安全==>《看我如何一步步PWN掉国内某摄像头》

文章末尾（第31页）发现提示一枚：

我们也在互联网上也提供了360摄像头供大家破解，有兴趣的可以来找找看哦！

由提示“360摄像头”，和彩蛋关键字“直播”，可联想到360水滴直播。通过关键字“安全客”搜索，获取指定直播间地址，可看到一个二维码，扫描即可获得flag。

简历彩蛋

2016年安全技术文章合辑（上）==>《360网络攻防实验室招聘》

扫描二维码获取招聘详情，在彩蛋降临活动时间内第一位向指定邮箱发送简历的同学可获得红包一枚。

Miria彩蛋

2016年安全技术文章合辑（上）==>安全工具==>《渗透利器之 Powershell》

阅读文章过程中发现一枚乱入的项目地址：

https://github.com/larryaqk360/PowerSploit

https://github.com/larryaqk360/PowerSploit/commit/47f664c7ab1172f87f6f91c9890c06bba7c8930c

第215-222行为flag

勒索软件彩蛋

2016年安全技术文章合辑（上）==>安全工具==>《开源被动扫描器 GourdScan v2.0 发布！》

文章末尾（第340页）

docker image 的root目录下的 i_want_be_happy 文件内容为flag。

VR视频彩蛋

2016年安全技术文章合辑（下）==>云安全==>《Xen 攻击第二篇：XSA-148–从 guest 到 host》

文章开头演示视频位置，有一枚乱入的视频地址，根据彩蛋关键字提示'VR'，才想到可能会有问题，访问后，旋转鼠标可看到flag。

http://bobao.360.cn/security-vr/

AR彩蛋

2016年安全技术文章合辑（下）==>移动安全==>《绕过最新补丁，AR 红包再遭技术流破解》

文章中有两张乱入的图片，其中第一张图片有地理位置坐标提示（电子城·国际电子总部）。

第二张图，“这张图里隐藏着巨大的秘密，你不来找一下么？”关注安全客的同学都知道，前段时间有一个领取季刊的活动，相信很多同学都已经领到了。

季刊的封面图即为提示，配合AR红包破解的这篇文章可联想到“可能是AR红包”，在特定位置（电子城·国际电子总部即360大楼）或者通过一些GPS欺骗手段，扫描即可领取红包。

GPS劫持领取红包的设备