任水文

摘要： 在本科做毕设的时候就接触到TCP代理这东西，当时需要使用代理来对发送和收到的数据做修改，同时使用代理也让我对HTTP协议有了更深的了解。TCP Proxy用到的一个主要的东西就是socket。proxy通过socket分别对localhost和remotehost做连接，然后可以对通过proxy的流... 阅读全文

摘要： nc即netcat，是网络界的瑞士军刀。当入侵了一个服务器之后，发现nc工具已经被系统管理员移除之后，可以自己制作一个简单的客户端和服务器端来实现①上传文件②执行命令③开启一个新的命令行shell等几个功能。 1 __author__ = 'seven' 2 import sys 3 impo... 阅读全文

摘要： 使用socket编程可以分成基于tcp和基于udp，tcp和udp两者最主要的区别是有无面向连接。基于tcp的socket流程：基于udp的socket的流程图：（以上两图来源于网络）可以看到基于udp的socket要简单得多，udp的客户端不需要事先connect，而udp的服务器端也不需要lis... 阅读全文

摘要： 很多东西不记下来就忘记了..在Windows下安装pip其实也比较简单，看了一些教程是这样的：1.在以下地址下载最新的PIP安装文件：http://pypi.python.org/pypi/pip#downloads2.解压安装3.下载Windows的easy installer，然后安装：http... 阅读全文

摘要： 这几天团队打算一起学习Android App漏洞挖掘方面的知识，于是乎拿了一个app当测试例子，争取在上面找到漏洞。在学习过程中发现Android四大组件的安全性还是占有较大的比重，另外比较关心的是数据的安全性。数据泄漏、明文存储等和数据相关都是比较重要的。但是今天找到的一个漏洞是关于Activit... 阅读全文

摘要： 本文转载自：http://www.cnblogs.com/whp2011/archive/2015/01/26/4250875.html一、安全研究做什么攻击角度：对某个模块进行漏洞挖掘的方法，对某个漏洞进行利用的技术，通过逆向工程破解程序、解密数据，对系统或应用进行感染、劫持等破坏安全性的攻击技术... 阅读全文

摘要： 用python编写一些小脚本确实很方便，但是处理数据时会涉及多种数据类型，因此在这里对Python的类型转换做一个整理。先列举一些比较经常用到的（代码测试均在python2.7环境下）：ord(x) 将字符转换成对应的ascii码十进制值>>> ord('4')52>>> ord('a')97chr... 阅读全文

摘要： 昨天在OJ上做CTF的题目，发现有道python的题目很有意思，让我知道了raw_input和input的区别，并且能干一些别的事情。 官方文档上说，input()相当于eval(raw_input())。说明input()本质上还是用raw_input()实现的，不过还调用了eval()来处... 阅读全文

摘要： 之前使用dSploit的时候就一直在想怎么对手机进行抓包分析，前两天使用了Burpsuite神器，发现通过简单的配置就可以抓手机app的数据包了，进而分析手机app的流量。 配置环境： 1.win7下安装了Burpsuite_v1.6 2.普通Android手机step1 让Android手机和... 阅读全文

摘要： 对于《DebuggingAndroidApplication》一文中最后附上的练习，我采用了另一种静态方法绕开原有的逻辑去破解。主要的过程如下： 利用apktool将练习的runtime.apk文件反编译，生成的smali格式的反汇编代码，接着从smali文件的代码中寻找突破口，修改程序，再利... 阅读全文