2013
09-17
09-17
IT人爱心项目三:募捐助学–结束
很早以前发起的爱心项目三:募捐助学,因为中间有学生的暑假,导致一直到最近才将募捐所得的资金邮寄给那边的老师。
在lsh4ck,疯子,西毒,sky的响应支持下,才让该项目能顺利进行,非常感谢几位!
加上我自己捐的,一共募捐了600元,下面是老师传过来的照片:
有时候能够排除各.... Read More >
很早以前发起的爱心项目三:募捐助学,因为中间有学生的暑假,导致一直到最近才将募捐所得的资金邮寄给那边的老师。
在lsh4ck,疯子,西毒,sky的响应支持下,才让该项目能顺利进行,非常感谢几位!
加上我自己捐的,一共募捐了600元,下面是老师传过来的照片:
有时候能够排除各.... Read More >
2013
09-10
09-10
Linux系统安全之ssh后门
1.ssh -V
#查看当前的ssh版本信息
#OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
2.查找ssh的配置文件
一般都在/etc/ssh中
3.备份原来的文件的time
将/etc/ssh下的文件的备份
假设/etc/ssh/sshd_config 备份为/etc/ssh/sshd_config.old.... Read More >
2013
09-10
09-10
linux系统安全之pam后门
本文由Sky原创投稿,请尊重劳动成果,转载注明出处!
测试环境:Centos 6.2 64位
0x01:查询本机的PAM版本
下载地址:
http://www.linux-pam.org/library/
https://fedorahosted.org/rel.... Read More >
今天是高富帅和白富美们不淡定的一天,IOS/Mac OS系统爆出了一个Bug,可以导致各种IM类型的APP崩溃。
该Bug是由于WebKit浏览器引擎导致的,受影响的系统有Mac OS 10.8和Ios 6,低于Ios 6和Ios 7、低于Mac OS10.8的版本不受该Bug影响。
任何使用了苹果的CoreText API渲染文本的浏览器或者应用程序都会受此Bug的影响,攻击字符串是.... Read More >
2013
08-16
08-16
Python实现自动登录网站
一段新手学习python的小程序,在圣哥指点下完成,主要功能是实现自动登录基调网络,并且完成打开WWW页面全屏显示的功能。
主要用到了Python Pamie模块,安装该模块需要先安装win32api模块,下面贴上具体的代码:
'''
Created on 2013-8-15
@author: Nx4dm1n
'''
#-.... Read More >
2013
08-11
08-11
浅谈内容欺骗漏洞
内容欺骗漏洞是指攻击者可以通过修改网页源代码,让访问者觉得是该功能或者该站点是可信合法的,来达到欺骗用户的目的。内容欺骗往往利用web服务的用户和组织之间建立的信任关系,意图是欺骗用户,达到钓鱼获取用户敏感信息的目的。
OWASP也将也被称为内容注射或者虚拟污损,内容欺骗漏洞攻击一般是和社会工.... Read More >
2013
07-18
07-18
struts2远程命令执行漏洞(s2-016)分析及防范
Struts2的官网在17号上午又公布了一个远程命令执行漏洞,随后各种版本的利用工具满天飞,对于wooyun和某些安全工程师童鞋来说,今天应该是备受压力和煎熬的一天!
17号上午11点空虚浪子心大牛的微博发了一条内容,随后经过各种大牛的转播,引爆了又一次的struts2远程命令执行漏洞换rank的浪潮!上一次struts2远程命令执行漏洞大爆发还要追溯到2012年5月份左右,同样wooyun.... Read More >
2013
07-10
07-10
HTML5下的XSS测试代码
国外某童鞋收集整理的针对HTML5的
XSS测试代码
<video> <source onerror=”javascript:alert(1)”>
引入媒体类测试代码Example:
<video onerror=”javascript:alert(1)”>.... Read More >
2013
06-27
06-27
dedecms之无节操webshell后门
单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun.
为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢?
无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xx.... Read More >
2013
06-06
06-06
二维码(Qr Code):USSD指令恶意攻击
二维码(Qr code)最开始是专门为工业应用涉及的,后来在广告业得到普及。
一个典型的二维码可以包含:
* 电子版本的联系信息;
* 可以包含事件信息,扫描一个海报或者app上的二维码,可以自动现实地理位置或者下载操作等;
* 可以包含无线配置数据;
利用人的好奇心和.... Read More >
2013
05-30
05-30
十大互联网安全火狐插件
PC安全方面,浏览一直是数量庞大的网名面临的主要问题之一,本文将分享用于firefox的10大互联网安全插件,希望对大家的上网浏览安全阀那个面有所帮助。
Extended Cookie Manager(扩展Cookie管理器)
扩展cookie管理器可以允许或者封锁网站发送的cookies,还可以用来改编某些网站的cookie权限。
Roboform Password Manager
Ro.... Read More >
2013
05-10
05-10
建站之星sitestar v2.5文件包含漏洞利用及修复
无意间发现建站之星sitestar 的一鸡肋文件包含漏洞,WVS扫描一朋友的网站,发现提示有以下文件包含漏洞
index.php?_a=fullist&_m=../../../../../../../../../../etc/passwd%00.jpg
admin/index.php?_a=admin_list&_m=../../../../../../../../...... Read More >
2013
04-25
04-25
共享的主机服务器风险简单分析
这篇文章的目标受众是服务器管理员,网站管理员,安全爱好者和专业信息安全人员等,主要简单分析了一个主机服务器存在的一些风险。
让我们来看看在一个共享的托管服务器上,你的网站不是那么安全的一些原因:
1,如果服务器上有任何一个网站被攻破,其它的网站可能也会面临被攻破的可能;
2,恶意攻击用户可以从主机提供商购买虚拟主机,然后达到入侵其它同服务器网站的目的;
3,虚拟主机没有足够.... Read More >
2013
04-19
04-19
SQLNuke-简单而快速的注入LOAD_FILE()工具
SQL注入中,有很多技术语句会和Union select 联合使用,比如load_file()、 into outfile() 、informaction_schema、char()、cast()和limit.很多攻击者平时最常用到的是union语句,informaction_schema和orde.... Read More >
2013
04-18
04-18
DVWA之从SQL注入到写入webshell
这篇文章谈论简单的技术,利用sql注入(SQLi)漏洞,并获得一个webshell,所有的演示都是用DVWA(渗透测试演练系统).对于SQL注入利用,有以下几个基本步骤:
1,发现SQL注入点;
2,通过mysql数据库帮助,进一步进行注入,获取帐号密码等敏感信息;
3,上传web.... Read More >
2013
03-28
03-28
用U盘安装Kali linux系统
闲来蛋疼,给小本装个双系统,写篇小小的文章,记录一下 ^_^~!
1,制作U盘系统安装盘
用到Universal-USB-Installer-1.9.3.1,低于1.9.3.1版本的,在选择系统类型的时候找不到kali linux,制作的系统安装盘在安装系统的时候容易出问题。
.... Read More >