记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Ruby语言存在反序列化漏洞导致Ruby 2.x任意命令执行

概述本文主要讲解Ruby编程语言任意反序列化的漏洞利用,同时发布了一个公共通用的工具链,从而实现Ruby 2.x的任意命令执行。首先将详细说明Ruby语言中存在的反序列化问题,然后讲解Gadget链的发现过程,最后描述漏洞利用的方式。背景序列化是将对象转换为一系列字节的过程,随后就可以将其通过网络传输,或者是存储在文件系统或数据库中。这些字节中包含重建原始对象所需的所有相关信息。而这种重建的过程,就被称为反序列化。每种编程语言都有其独特的序列化格式,也有一些编程语言不将这一过程称为序列化和反序列化。在Ruby中,该过程通常被称为编组(Marshalling)和解组(Unmarshalling)。Marshal类中包含类
发布时间:2018-11-26 12:20 | 阅读:72067 | 评论:0 | 标签:漏洞 Ruby

PenTBox 简易蜜罐的设置

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。 PenTBox最早出现于2009年,是一款免费的开源安全工具套装。它基于Ruby开发,面向GNU/Linux系统,且兼容Windows、MacOS、Android等系统.主要用于帮助安全人员对网络、系统的安全性和稳定性进行测试。但它也被用作黑客工具套件,尤其是它提供的NetDoSTest(网络圧力测试)。 PenTBox其主体功能分三部分: 1.密码算法工具 2.网络工具(压力测试、溢出攻击) 3.web交全测试工具 这次介绍的是如何使用penTBox来快速地在系统中设置一个
发布时间:2016-08-18 04:15 | 阅读:142327 | 评论:0 | 标签:网络安全 honeypot penTBox ruby 蜜罐

使用Radare2和Ruby开发恶意软件配置解析器

Radare2(一款开源代码的逆向工程平台)近来得到了很多关注,这里我不仅仅想浏览一些文档,我还想尝试用Radare来实现遍历一些代码。2014年,GData曾发布一份关于“TooHash行动”的白皮书,还介绍了一个被称为“Cohhoc”的恶意软件。这里我不对cohhoc进行深挖,可以通过两个步骤来解码C2地址。URL作为一个base64字符串存储(bitshifted或者OR’d)。下图展示的是解码URL字符串成为一个base64解码函数。结果数据传递到另一个解码函数,其使用了许多bitwise转换进行数据解码。创建一个针对这个恶意软件的解析器并非难事,就是从所有字符串中找到能够被彻底解码的。唯一的问题就是使用一种有效的方法遍历二进制。下面就是Radare2和Ruby登场了!Radare
发布时间:2016-01-29 05:15 | 阅读:96591 | 评论:0 | 标签:系统安全 Radare2 ruby 恶意软件 配置解析器

通过Sencha Cmd辅助开发基于ExtJS4 MVC的项目

一直想写点什么,但是忙的又没空整理东西去更新博客,最近忙里偷闲学习了一下RESTful——基于ExtJS4 MVC + Spring MVC,现在整理出来,方便以后自己用。其实写写博客还是挺不错的,没法把所有东西都记在脑子里,哪天要用到了的话可以查阅一下自己的博客,对于这一点目前我深有体会,能提高不少效率。 准备工作: Sencha Cmd 下载地址:http://www.sencha.com/products/sencha-cmd/download/ ExtJS 4.1.1a 下载地址:http://cdn.sencha.com/ext-4.1.1a-gpl.zip Ruby 下载地址:http://rubyinstaller.org/downloads 将Sencha Cmd安装至d:sencha目录下,
发布时间:2013-01-21 17:45 | 阅读:159335 | 评论:0 | 标签:ExtJS Compass ExtJS4 Ruby Sencha Cmd

linux下安装Ruby On Rails

1.安装ruby sudo apt-get install ruby1.9.1 ruby1.9.1-dev 2.安装rails 安装rails使用的是gem命令,默认的gem源速度比较慢,需要更换成淘宝的 gem source -r http://rubygems.org/ gem source -a http://ruby.taobao.org sudo gem install rails 过程比较久,要耐心等待,进度控可以用命令sudo gem install rails -V来显示具体进度。 3.创建项目 rails new /home/leo/ror 这样就在/home/leo/ror里创建了一个新的ROR项目,在运行到"run bundle install"的时候会卡住,也是源的原因,按ctrl+
发布时间:2013-01-07 16:43 | 阅读:87284 | 评论:0 | 标签:Ruby On Rails Rails Ruby

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云