摘要: 前言: n久之前为测试写的脚本,都已经更新几个版本了。把最简单都版本放出来。 测试要求尽量少用第三方库。阅读全文
posted @ 2019-01-15 16:20 轻落语 阅读(5) 评论(0) 编辑
摘要: command+space开启新的一天 窗口管理:Magnet 写代码:Pycharm、vscode、sublime text 虚拟机:VMware Fusion(买不起Parallels Desktop) 命令终端:iTerm2+ oh my Zsh 思维导图:Xmind 笔记:Evernote(阅读全文
posted @ 2019-01-14 11:24 轻落语 阅读(2) 评论(0) 编辑
摘要: 转自我八师傅博客 CS简介 Cobalt Strike(简称CS)是全球黑客公认一款非常优秀的渗透测试神器,以metasploit为基础的GUI的框架式渗透工具,集成了传统远控功能(远程桌面VNC、键盘记录、CmdShell、文件管理)、0day提权、进程注入、域内渗透、密码获取、Hash注入、端口阅读全文
posted @ 2019-01-08 14:28 轻落语 阅读(7) 评论(0) 编辑
摘要: 0x01 前言: 前段时间做应急,总是需要溯源分析,痛点是数据量比较大,想要短时间能分析出来。再者就是之前在调查某酒店事件的时候特别羡慕某产商有各种分析溯源工具。反思过后,终于在没有那么忙的时候开始搭建平台,开始采坑 0x02 ELK搭建: wget https://artifacts.elasti阅读全文
posted @ 2018-11-08 15:57 轻落语 阅读(32) 评论(0) 编辑
摘要: 1.简介 SDL的全称是Security Development Lifecycle,即:安全开发生命周期。由微软最早提出,是一种专注于软件开发的安全保障流程。为实现保护最终用户为目标,它在软件开发流程的各个阶段引入安全和隐私问题。 2.流程 SDL大致如下,包括了以下七个阶段: • 安全培训:安全阅读全文
posted @ 2018-11-07 15:39 轻落语 阅读(169) 评论(0) 编辑
摘要: 0x01.前言 Jumpserver 是全球首款完全开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 的专业运维审计系统。 Jumpserver 使用 Python / Django 进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 解决方案,交互阅读全文
posted @ 2018-10-26 10:29 轻落语 阅读(8) 评论(0) 编辑
摘要: 之前在博客写的一篇文章,但是博客好久没弄了。域名忘记续费了。也懒的折腾,放在博客园省心点吧,刚仔细看了一下之前写了,觉得自己写的好low,等我有空在整理一些案例。 近期做的一些业务安全方面的测试,其实毫无技术含量,就是想总结一下经常测试的点以及遇到的奇葩问题。 1.P2P常见逻辑漏洞(加车、下单、结阅读全文
posted @ 2018-09-21 16:33 轻落语 阅读(27) 评论(0) 编辑
摘要: # coding:utf-8 import os import sys import re rulelist = [ '(\$_(GET|POST|REQUEST)\[.{0,15}\]\(\$_(GET|POST|REQUEST)\[.{0,15}\]\))', '(base64_decode\([\'"][\w\+/=]{200,}[\'"]\))', 'eval...阅读全文
posted @ 2018-09-16 10:13 轻落语 阅读(122) 评论(0) 编辑
摘要: 业余时间学习了buffer overflow ,简单记录一下操作过程。 文件下载地址:https://www.dropbox.com/s/zhivgb79wtbce37/minishare-1.4.1.exe?dl=0 1.模糊测试 目的:发送一定量的数据导致程序崩溃。 结果如图所示:看到eip被重阅读全文
posted @ 2018-08-14 19:46 轻落语 阅读(37) 评论(0) 编辑
摘要: 今天早上帮同事写了脚本,大致功能:从文本中读取域名,加密存储成按照自己定义的格式。但是一个简单的代码居然出现了错误。初始的代码如下: 但是在同事那边验证失败了。起始文件我是用set(list)一个列表。但是在minergate这里出错了。通过对line输出 其中我已经对line两边去掉空格,结果在结阅读全文
posted @ 2018-08-07 14:14 轻落语 阅读(287) 评论(0) 编辑