涅槃小鸟 - 博客园

2013年8月26日

摘要：之前仅知道svn权限配置不当，会导致敏感信息泄漏，但是一直不知道具体利用方式。今天测试svn dig时抓包分析才知道：http://www.xxx.com/路径/.svn/text-base/文件名.svn-base哈哈～～阅读全文

posted @ 2013-08-26 15:42 涅槃小鸟阅读(456) 评论(0) 推荐(0) 编辑

2013年8月23日

摘要：前段时间mimikatz热传，主要是因为可以直接提取当前登录用户明文密码。其实，有个更厉害的神器，无需那么多命令操作，一个命令搞定：C:\>wce -wWCE v1.3beta (Windows Credentials Editor) - (c) 2010,2011,2012 Amplia Security - by Hernan Ochoa (hernan@ampliasecurity com)Use -h for help.test\MYDOMAIN:mypass1234NETWORK SERVICE\WORKGROUP:test参考：http://www.ampliasecurit 阅读全文

posted @ 2013-08-23 11:40 涅槃小鸟阅读(609) 评论(0) 推荐(0) 编辑

2013年7月30日

firefox中outlook.com页面卡顿的原因

摘要：在火狐中使用outlook.com时，鼠标点击动作后，页面会卡顿一段时间，每次点击都是如此。因为之前火狐出现由于硬件加速导致页面卡顿的情况，因此第一反应就是关闭硬件加速。果然，关闭硬件加速后，页面反应正常、流畅。阅读全文

posted @ 2013-07-30 14:28 涅槃小鸟阅读(477) 评论(0) 推荐(0) 编辑

2013年7月22日

漏洞的定义

摘要：利用应用程序提供的正常功能，获取了非授权的数据，或者实现了开发者预期以外的目的，就可以认为所利用的缺陷是一个漏洞。阅读全文

posted @ 2013-07-22 16:03 涅槃小鸟阅读(383) 评论(0) 推荐(0) 编辑

2013年7月5日

Hydra--密码破解的神器

摘要：原来不止burpsuit、sqlmap是神器，还有Hydra。虽久闻大名，却未曾使用，今天偶然用到，发现支持的服务那真是多，ftp、ssh、smtp、imap、http。。。，而且支持ssl可以想见，配合强大的字典，将会发挥多大效果。kali linux中直接运行hydra，喜欢图形界面的用xhydra。阅读全文

posted @ 2013-07-05 13:42 涅槃小鸟阅读(440) 评论(0) 推荐(0) 编辑

2013年6月7日

Using Nessus and Metasploit Together(Nessus 配合metasploit使用)

摘要： http://www.tenable.com/blog/using-nessus-and-metasploit-togetherhttp://www.backtrack-linux.org/forums/showthread.php?t=40377http://www.fuckgcd.net/wordpress/archives/118 阅读全文

posted @ 2013-06-07 15:22 涅槃小鸟阅读(230) 评论(0) 推荐(0) 编辑

2013年5月30日

BurpSuite自动生成CSRF PoC

摘要：今天才发现BurpSuite有这么强大的功能：阅读全文

posted @ 2013-05-30 10:23 涅槃小鸟阅读(1356) 评论(0) 推荐(0) 编辑

2013年5月15日

中招了！

摘要：今天系统出现了问题（网络异常，hosts文件被篡改为乱码），才想起原因。。。很可能是昨天搜索Cain时候，不小心中招了。。。下次一定小心，特别是非官方版本。开机访问：115la.in/vip2.txt，被NOD32拦截了阅读全文

posted @ 2013-05-15 15:54 涅槃小鸟阅读(162) 评论(0) 推荐(0) 编辑

2013年4月25日

信息安全事件报告

摘要：初步想法，仅作记录，后续修改1、报告格式需要通报给最密切的部门并确认对方已收到，如运维。2、报告格式包括标题格式和正文格式3、格式应便于识别、记录、归档、录入数据库4、标题格式：【事件类型】【发生时间】【网站/IP】阅读全文

posted @ 2013-04-25 10:19 涅槃小鸟阅读(401) 评论(0) 推荐(0) 编辑

2013年4月23日

IronWASP自带小工具简介

摘要： 1、提供了常见的编码转换、计算MD5、计算不同长度哈希值的功能2、提供了文本比较的功能，可以满足一般的内容比较3、提供了HTML内容解释并预览的功能阅读全文

posted @ 2013-04-23 09:35 涅槃小鸟阅读(210) 评论(0) 推荐(0) 编辑

2013年4月22日

大有潜力的IronWASP

摘要： 1、加载界面感觉上和webravor神似，可以自己编写测试脚本，支持Python和Ruby；2、0.9.5版本改进很大，不错。且扫描策略有亮点：如cookie缺乏HttpOnly属性3、开源。提供开发环境支持。以后自己写扫描器的话，也要学习下IronWASP4、支持导入burp日志，习惯使用burpsuite的童鞋有福了作者为印度人：Lavakumar Kuppan（http://in.linkedin.com/in/lavakumark）阅读全文

posted @ 2013-04-22 15:45 涅槃小鸟阅读(370) 评论(0) 推荐(0) 编辑

2013年4月12日

利用sqlmap和burpsuite绕过csrf token进行SQL注入

摘要：转载请注明来源：http://www.cnblogs.com/phoenix--/archive/2013/04/12/3016332.html问题：post方式的注入验证时遇到了csrf token的阻止，原因是csrf是一次性的，失效导致无法测试。解决方案：Sqlmap配合burpsuite，以下为详细过程，参照国外牛人的blog（不过老外讲的不是很细致，不适合我等小白）。（英文好的可以直接看：http://labs.asteriskinfosec.com.au/fuzzing-and-sqlmap-inside-csrf-protected-locations-part-2/）：1、打开阅读全文

posted @ 2013-04-12 11:41 涅槃小鸟阅读(2886) 评论(0) 推荐(0) 编辑

Virtualbox共享剪贴板失效

摘要：初步怀疑是增强功能程序没有完全自启动，尝试解决：1、在客户机中将vbox相关程序设为自启动；2、设置vbox的双向剪切板为双向后，再开机。仅为尝试，不确定。阅读全文

posted @ 2013-04-12 10:12 涅槃小鸟阅读(1613) 评论(0) 推荐(0) 编辑

2013年4月3日

无毒的纯净版NetCat--NC

摘要：上传文件到outlook.com时候，突然发现自己一直用的nc是有毒的~~~迅速找到一个无毒版本（都忘记nc全名是NetCat了）：http://eternallybored.org/misc/netcat/经过http://r.virscan.org 在线扫描后没有发现有任何杀毒软件报毒。备份下，本地下载另外，Nmap也有一个版本：http://nmap.org/ncat/，下载地址为：http://nmap.org/dist/ncat-portable-5.59BETA1.zipps：这个版本比较大，有1M多哦~~不过支持ssl的阅读全文

posted @ 2013-04-03 12:00 涅槃小鸟阅读(1054) 评论(0) 推荐(0) 编辑

2013年4月1日

开启3D硬件加速导致Virtualbox无法响应

摘要：在显卡很差的机器上，安装了virtualbox，一番操作之后发现只要启动kali linux中的浏览器，virtualbox就会崩溃，出现“无法响应”。更换了4.0-4.2的多个版本都无法解决。回想起开启了3D硬件加速，关闭后，浏览器正常打开，virtualbox正常运行。阅读全文

posted @ 2013-04-01 16:17 涅槃小鸟阅读(676) 评论(0) 推荐(0) 编辑