该文被密码保护。 阅读全文
摘要:
----Sevck 2016/3/4 17:24:13 #1软件说明: GoAccess是一款开源、实时,运行在命令行终端下的web日志分析工具。该工具提供快速、多样的HTTP状态统计,可以令管理员不再纠结于统计各类数据,和繁杂的指令以及一大堆管道/正则表达式说byebye。据GoAccess官方的 阅读全文
摘要:
yum install gcc python-devel 之前yum install gcc* 了 所以没成功。 wget http://prdownloads.sourceforge.net/docutils/docutils-0.7.tar.gz?download # tar -zxf docu 阅读全文
摘要:
/* # Exploit Title: ofs.c - overlayfs local root in ubuntu # Date: 2015-06-15 # Exploit Author: rebel # Version: Ubuntu 12.04, 14.04, 14.10, 15.04 (Ke 阅读全文
摘要:
#!/bin/bash rm -f result.txt cat ip.txt | fping > result.txt 2行代码就搞定,很方便,初学shell,很强大,问了下同事,但是shell的高并发还是没py的强大 效果: ps 如果提示fping这个命令没有找到的话,直接yum instal 阅读全文
摘要:
昨天看小飞侠写的py的jenkins的脚本,昨天晚上在微信里评论今天写一个JAVA的GUI的tools. 早上花了点时间写一下: code: package com.tools; import java.io.BufferedReader; import java.io.IOException; i 阅读全文
摘要:
延迟注入工具(python) #!/usr/bin/env python # -*- coding: utf-8 -*- # 延迟注入工具 import urllib2 import time import socket import threading import requests class 阅读全文
摘要:
测试环境 win7 32 位未打任何补丁 1、使用net user 指令 测试得到结果没有权限新建用户 2.查看系统用户 3、复制EXP到win7 下 使用命令打开 添加新用户再查看用户列表 阅读全文
摘要:
危险漏洞补丁修复通知 漏洞编号 漏洞编号为CVE-2015-7547 漏洞说明: Google安全团队近日发现glibc存在的溢出漏洞。 glibc的DNS客户端解析器中存在基于栈的缓冲区溢出漏洞。当软件用到getaddrinfo库函数(处理名字到地址以及服务到端口的转换)时,攻击者便可借助特制的域 阅读全文
摘要:
l 漏洞名称: zookeeper未授权访问 l 漏洞影响版本: zookeeper l 漏洞细节: ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。b它是一个为分布式应用提供一致性服务的软件,提供 阅读全文
摘要:
漏洞概述: 国外网站 Contrast Security 于2016年2月24日在公开了Jenkins近日修复的一个可通过低权限用户调用 API 服务致使的命令执行漏洞详情。通过低权限用户构造一个恶意的 XML 文档发送至服务端接口,使服务端解析时调用 API 执行外部命令。 利用方法: 1. 登陆 阅读全文
摘要:
本周需要给客户做渗透测试,扫描器中发现客户存在SSH弱口令,于是在网上找个一个SSH爆破的脚本,顺便改了一下,测试,虽然没成功~ 程序目录如下: |--ssh.scan.py |--/log: sshd |--/dict: ip password下面上源码吧,文件保存为ssh.scan.py,查看使 阅读全文
摘要:
CSRF的防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。 1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机 阅读全文
摘要:
有时候我们需要检测某个目录下文件或者子目录的改动状况,如添加、删除、以及更新等,Linux系统上提供了inotify来完成这个功能。inotify是在版本2.6.13的内核中首次出现,现在的发行本应该都包含这个系统调用了。 下面的描述中的文件如无特别说明包括文件以及目录 使用inotify的第一步就 阅读全文
摘要:
暗月2016年以前写过的工具 2015年基本上都是在搞编程 学习了很多种编程 不过就没一个研究的很深 不过达到自身的需求了 也是可以了。 写的都是小工具。客官觉得有用就拿去吧。 暗月百度&谷歌批量url批量获取工具 这个工具要填写谷歌可以访问的镜像 用win7才能获取url的 记得多试几次 过滤也要 阅读全文
摘要:
摘自:http://www.freebuf.com/tools/94777.html 如果你热爱漏洞研究、逆向工程或者渗透测试,我强烈推荐你使用 Python 作为编程语言。它包含大量实用的库和工具,本文会列举其中部分精华。 网络 Scapy, Scapy3k: 发送,嗅探,分析和伪造网络数据包。可 阅读全文
摘要:
花了4天终于把写完了把国内的几个漏洞平台爬完了,第一次写py,之前一直都在说学习,然后这周任务是把国内的漏洞信息爬取一下。花了1天学PY,剩下的1天一个。期间学习到了很多。总结如下:===========================================================... 阅读全文
摘要:
这个是avfisherapi写的API,经常用,每次找他的博客都搜到AV,尴尬。。在这里记下来。0x01 查询最新安全事件和漏洞的接口接口URL:乌云网:http://avfisherapi.sinaapp.com/wooyun/Freebuf:http://avfisherapi.sinaap... 阅读全文
摘要:
linux下的文件结构,看看每个文件夹都是干吗用的/bin二进制可执行命令/dev设备特殊文件/etc系统管理和配置文件/etc/rc.d启动的配置文件和脚本/home用户主目录的基点,比如用户user的主目录就是/home/user,可以用~user表示/lib标准程序设计库,又叫动态链接共享库,... 阅读全文
摘要:
这几天已知在做webshell的检测,JSP的不说了,特征检测起来很好匹配到,而且全是一家亲,互相模仿的居多。今天看了一篇文章,看到14年蘑菇的webshell的后门然后很不错。============================================是按位取反。~PHP:位运算符-... 阅读全文