记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

XAttacker:一种正在扩散中的新型Web漏洞利用工具

背景介绍 作为一名威胁情报分析员,日常工作之一就是及时发现各种新的网络威胁,比如,了解攻击者当下使用的新的漏洞和工具,这样做有利于你尽快的识别并抵御这些威胁。 前几天,在进行日常的蜜罐分析时,发现了一些可疑的流量试图上传一个名为“XAttacker.php”的shell。由于之前没有遇到过这个脚本,于是我把它丢给了Google搜索,找到了该工具的 GitHub页面: 该工具于11月7日被上传到GitHub上,目前已有25颗星星,被Fork过16次(截止到本文发表时的统计数据)。XAttacker的目的针对基于PHP开发的CMS平台进行简单的漏洞利用,在Github页面上展示的攻击列表中,可以看到WordPress、Joomla、DruPal、Prestashop和Lokomedia等主题及可选择的67个漏洞
发布时间:2017-11-18 23:45 | 阅读:118286 | 评论:0 | 标签:工具 shell XAttacker 开源 漏洞利用工具 漏洞

Android 字符串及字典混淆开源实现

Android上对App进行混淆是常见的事情,目的就在于一定程序上保护app的逻辑不被逆向,同时还可以减少app的体积。 在开发中常用的混淆工具首先就要提ProGuard了,这是一款免费工具,默认已被Android IDE集成,开发者只需要适当的进行配置混淆规则就可以使用proguard来混淆app,但既然是免费软件,局限性自然也比较大,首先就是不支持字符串混淆,如果要使用字符串混淆,就需要使用它的商业版本DexGuard。 既然没有免费的字符串混淆工具,那就自己先实现一个,分析了JEB(Android反编译工具),Zelix(JAVA混淆器),BurpSuite(网络代理工具)等几款混淆效果比较好的软件,了解了它们的实现思路后,自己写了个简单的字符串混淆工具,先上效果: 可以看到,这里的字符串已经被处理成1
发布时间:2017-03-09 11:40 | 阅读:214413 | 评论:0 | 标签:终端安全 Android 字典混淆 字符串 开源

PunkSpider:开源自动化漏洞扫描系统

项目主页 https://bitbucket.org/punkspider/punkscan/src/ 简介 PunkSpider是一款由PunkScan出品的大型WEB漏洞扫描器,我们利用它已经建立了一个稳定的扫描体系,每日可以实现无人值守式的运行。此外,其中运行了一个Apache Hadoop集群,每天能处理的扫描任务数以万计。 特点 该扫描服务会在网上随机爬行,寻找可能存在漏洞的WEB应用,发起一些诸如SQL盲注、传统SQL注入,以及XSS等攻击。游客可以通过PunkSpider搜索一个URL或者一个关键词,得到相关网站的结果。它采用了如Apache Hadoop等大数据级别的高端技术,这些都是开源的。 PunkSpider项目的设计思想是:站长可以通过搜索自己的网站来验证其是否做好了基本的安全措施,这
发布时间:2016-12-02 03:35 | 阅读:279171 | 评论:0 | 标签:工具 PunkSpider 开源 漏洞扫描 自动化 扫描 漏洞

勒索软件的开源真的有利于信息安全的发展吗?

把勒索软件的源代码上传到GitHub?安全研究专家现在也无法确定这样做是否真的有利于信息安全的发展。根据我们的调查,当我们发表了第一篇关于这一话题的文章之后,安全研究专家MaksymZaitsev(CryptoTrooper的作者)就决定要删除他托管在GitHub中的项目了。接下来,我们要在这篇文章中深入分析一下到底应不应该开源勒索软件。 CryptoTrooper–【GitHub传送门】 CryptoTrooper是一款专门用于构建Linux勒索软件的开源工具,而在“勒索软件是否可以开源”的这一话题上,这款工具的诞生也将信息安全社区划分成了两个阵营。在此之前,UtkuSen所开发的EDA2和Hidden Tear这两款勒索软件就已经引发了信息安全社区的广泛讨论。这一话题的核心无非就是两个问题:首
发布时间:2016-11-05 17:00 | 阅读:71551 | 评论:0 | 标签:观点 github 勒索软件 开源

机器学习之识别简单验证码

前言 关于验证码识别的文章网上很多图像识别的大神教程也比较多,不过大多数专业性太强了,对非专业人士读起来简直是天书,不过随着机器学习的普及,一大批机器学习的开源工具出现了,这也算对大多数像我一样的学渣的福音,由于最近项目中牵扯到了一些机器学习相关的东西,所以自己最近也一直在学习机器相关的东西,这篇验证码的识别也算是练手了,本文也算是学习中的笔记,所以文章中难免有一些错误,欢迎各路大神指点。 由于本人不是相关专业的,对于文中相关算法就不会具体去讨论了,主要以实战为目的。 准备工作 主要是用到了一些机器学习开源的框架以及一些辅助工具。 Scikit-Learn 比较有名的Python机器学习模块,主要是操作简单。 Pybrain Python机器学习模块,主要以神经网络为核心,所有的训练方法都以神经网络为一个实例
发布时间:2016-10-19 15:20 | 阅读:221327 | 评论:0 | 标签:网络安全 开源 机器学习 机器学习框架 验证码识别

ssh-audit:开源SSH服务器审计工具

项目主页 https://github.com/arthepsy/ssh-audit 简介 ssh-audit是一款用于审计ssh服务器的开源工具 特性 SSH1及SSH2协议服务器的支持; 抓取banner,识别设备或软件和操作系统,检测压缩; 收集交换密钥,主机密钥,加密和消息认证码算法; 输出算法信息 (available since, removed/disabled, unsafe/weak/legacy, etc等); 输出算法建议(添加或删除基于公认的软件版本); 输出安全信息(有关的问题,分配CVE列表等); 分析基于算法的信息SSH版本的兼容性; 从OpenSSH的,Dropbear SSH和libssh历史信息; 没有依赖关系,与Python 2.6+,Python的3.x和PyPy兼容;
发布时间:2016-10-16 22:50 | 阅读:172522 | 评论:0 | 标签:工具 ssh-audit ssh安全 ssh安全审计工具 ssh审计 审计工具 开源

​数据库安全8项最佳实践

当数据流在急速涌入数据中心和云存储系统时,IT经理和存储管理员必须为此做好准备,尤其是当遇到数据流量洪峰的时候。借助为数据流量提供额外数据的设备数量优势,数据分析、业务指标以及仪控测量已经完全改变了现代企业处理业务的方式。如今,每年企业需要处理的数据一般在PB量级,这也使得企业在趋于劳动密集型的同时,对数据的保护也更加困难复杂,即使是处于结构化环境中的企业数据库也如此。实际上,最近Forrester Research对企业的IT经理人展开的一项调研表明,71%的企业仍在艰难的保护他们数据库中珍贵的公司数据。如洪水般泛滥的数据安全威胁已经“淹没”了那些准备不周的企业,恰当的数据管理和保护已是刚需。下面是开源MariaDB社区 Forrester Researchand 关于数据库保护的8项最佳实践:1. 不要让你
发布时间:2016-08-12 15:05 | 阅读:89304 | 评论:0 | 标签:术有专攻 加密 开源 数据库安全

WinPcap威力加强版:这个国产开源工具获得了Google赞助

Npcap是致力于采用Microsoft Light-Weight Filter (NDIS 6 LWF)技术和Windows Filtering Platform (NDIS 6 WFP)技术对当前最流行的WinPcap工具包进行改进的一个项目。Npcap项目是最初2013年由Nmap网络扫描器项目创始人Gordon Lyon和北京大学罗杨博士发起,由Google公司Summer of Code计划赞助的一个开源项目,遵循MIT协议,与WinPcap一致。Npcap基于WinPcap 4.1.3源码基础上开发,支持32位和64位架构,在Windows Vista以上版本的系统中,采用NDIS 6技术的Npcap能够比原有的WinPcap数据包(NDIS 5)获得更好的抓包性能,并且稳定性
发布时间:2016-05-26 04:25 | 阅读:107003 | 评论:0 | 标签:工具 npcap 开源 抓包工具

RFIDler:一款定义RFID的读、写、仿真器的开源软件

很多类似于RFID这样的技术看起来都很神秘,实际上他是依赖于很多物理学原理的,比如”电磁感应原理”。是的,这些现象产生的各种信号足以令人发狂,看完这些模拟模拟信号后,我忽然发现二进制信息多么干净美丽。所以我一直在找一个工具,可以把这些模拟世界转化成友好的数据,RFID就是主要的对象。近些年来,越来越多RFID/NFC产品出现了,可能在你的口袋里就有好几个这样的东西——比如,你的车钥匙、门的钥匙、信用卡等等。当然,他们都有各自的RFID阅读器可以读取他们的信息,但是我关心的是,有没有一个RFID阅读器可以读取所有RFID上的信息,并且这个阅读器还很小且很便宜。凭心而论,似乎有很多阅读器都可以达到我的要求,你可以买个很简单的RFID USB阅读器,大概也只需要10-15英镑。但是之后
发布时间:2016-05-24 21:45 | 阅读:118902 | 评论:0 | 标签:工具 RFID RFIDler 开源

Facebook CTF平台宣布开源

入侵计算机,网络和网站很容易让你进监狱。但是如果你有一个安全合法的环境来免费测试和练习你的黑客技能呢? 你还会入侵计算机,入侵网络,入侵网站吗? 今天得到消息,为了鼓励学生和开发者来了解网络安全和进行安全编码的实践,Facebook刚刚将它的CTF平台开源了。Facebook CTF 视频: 从2013年开始, Facebook就在全世界举办CTF竞赛。现在,它将它的ctf平台源码放在Github 上开源并向大众开放ctf平台。  Facebook安全部工程师Gulshan Singh说:我们为所有人提供了一个能在后台维护的CTF平台,它有CTF游戏地图,能注册团队,还有
发布时间:2016-05-13 08:35 | 阅读:130065 | 评论:0 | 标签:工具 FB CTF 开源

开源界何时不再玩捉迷藏游戏?

原文出处: TechRepublic-Jack Wallen   译文出处:51CTO-布加迪 开源开发人员提交应用程序后,眼睁睁看着它们渐归湮灭。有些软件是我每天都在使用的,我不明白它们为何没得到广泛使用。开源开发人员在不知疲倦地开发作品,到头来却得不到多大的回报。是到了改变这种现状的时候了。本文作者认为,解决这个问题的钥匙在于开发人员和统一软件包管理器的手里。 最近,我读到了另一位开源倡导人士所写的一篇博文,这篇博文探讨了我再熟悉不过的一个话题。作为如今市场上的小说家,不用说,如果公众不知道你的作品,你的作品就会无人问津。由于越来越多的人自诩为作家,小说界已成为一个庞大的废稿堆,连最优秀的作家也会被淹没在堆积如山的“平庸作品”当中。 这个比喻也适用于编写开源软件的那些人。唯一的区别在于,他们用来帮助宣传作
发布时间:2015-12-10 01:05 | 阅读:73535 | 评论:0 | 标签:技术 科技 开源

开源网络取证工具Xplico

摘要:Xplico的目标是提取互联网流量并捕获应用数据中包含的信息。举个例子,Xplico可以在pcap文件中提取邮件内容(通过POP,IMAP,SMTP协议),所有的HTTP内容,每个VoIP的访问(SIP),FTP,TFTP等等,但是Xplico不是一个网络协议分析工具。Xplico是一个开源的网络取证分析工具(NFAT)。特征:协议支持:HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, … ;针对每个应用协议都有端口独立协议识别(PIPI);多线程;支持使用SQLite数据库或者Mysql数据库甚至文件进行数据和信息的输出;每个数据都由Xplico重新组装,
发布时间:2015-12-08 14:40 | 阅读:100485 | 评论:0 | 标签:工具 分析 取证 开源

开源:好处与风险并存

开源现在已是IT行业势力庞大的一支生力军,它免费、开放、可定制、受整个社区的监督。鉴于开源在IT界的地位和影响力,任何关于其价值的大讨论已经没有必要。“当源代码向全世界开放,你将会被多双眼睛检查同一配置。因而,一旦发现问题,代码拥有者也可以更快地进行修复。”好处与风险但另一方面,这些好处却也是风险的来源。一些安全和法律界专家,尽管总体上认可开源的好处,却依然不断地警告各类组织和个人:开源并不完美,也许并不适合所有人。开源的优点同时也是风险的根源。很明显,如果代码里的漏洞每个人都可见,那么罪犯也可以看到。而且即使百万双眼睛盯着开源代码也并不能保证每个漏洞都能被发现并补上。“有种说法称开源软件由于其开放性和‘有百万双眼睛检查源代码’而天生更安全。这种说法已经被诸如心脏滴血和其他一些漏洞彻底打脸。”(Accuvant
发布时间:2015-06-25 17:35 | 阅读:143814 | 评论:0 | 标签:动态 安全 开源

基于ngx_lua开发的web应用防火墙开源

ngx_lua_waf是一个基于ngx_lua开发的web应用防火墙。此版本开发于2012年5月17号.之后再没更新。代码很简单,开发初衷主要是高性能和轻量级。现在开源出来.其中包含我们的过滤规则。如果大家有什么建议和想法,欢迎和我一起完善。项目地址:https://github.com/loveshell/ngx_lua_waf用途: 1,用于过滤post,get,cookie方式常见的web攻击2,防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击3,防止svn/备份之类文件泄漏4,防止ApacheBench之类压力测试工具的攻击5,屏蔽常见的扫描黑客工具,扫描器6,屏蔽异常的网络请求7,屏蔽图片附件类目录php执行权限效果图如下:推荐安装:请自行给
发布时间:2013-03-25 11:55 | 阅读:133809 | 评论:0 | 标签:工具 lua nginx waf 开源

Format String 漏洞介绍

其实这篇文章没什么技术含量,format string(格式化字符串)漏洞很久很久就被研究透了,scut的一篇pd文档属于非常详细的介绍/入门级文章,但是全英文以及里面例子有些解释不彻底, 以及有些例子已经不能使用了,所以这里想大致总结一下,并给出实验好的环境和代码.(实验平台:rh8.0,gcc自带版本)  Format string 漏洞一般是由以下几个函数引起的:  o fprintf - 输出到文件句柄  o printf - 输出到终端  o sprintf - 输出到一个字符串  o snprintf -输出指定长度到字符串  o vfprintf - print to a FILE stream from a va_arg structure  o vprintf - prints to 'std
发布时间:2013-01-07 14:01 | 阅读:143835 | 评论:0 | 标签:Format String漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词