随笔分类 - 渗透测试
记录一些渗透测试过程、技巧
摘要:''' Syn flood program in python by Tequila/e credits to Silver Moon for base's of syn packets. r s s y n''' # some importsimport socket, sys, osimport threadingimport timeimport threadfrom struct import *if len(sys.argv) "); sys.exit();# checksum functions needed for
阅读全文
摘要:计划扫描:工具--》扫描调度程序 或者参考:http://pic.dhe.ibm.com/infocenter/apsshelp/v8r6m0/topic/com.ibm.help.common.infocenter.aps/t_ScheduleaScaninInstallments005.html扩展程序:工具--》扩展管理器扩展程序下载地址:http://www.ibm.com/developerworks/rational/downloads/08/appscan_ext_framework/eXtensions.html
阅读全文
摘要:1、增加了对红极一时的Struts2的远程代码执行漏洞的检测2、增加了对篡改价格这类应用逻辑缺陷的检测
阅读全文
摘要:原来不止burpsuit、sqlmap是神器,还有Hydra。虽久闻大名,却未曾使用,今天偶然用到,发现支持的服务那真是多,ftp、ssh、smtp、imap、http。。。,而且支持ssl可以想见,配合强大的字典,将会发挥多大效果。kali linux中直接运行hydra,喜欢图形界面的用xhydra。
阅读全文
摘要:http://www.tenable.com/blog/using-nessus-and-metasploit-togetherhttp://www.backtrack-linux.org/forums/showthread.php?t=40377http://www.fuckgcd.net/wordpress/archives/118
阅读全文
摘要:1、加载界面感觉上和webravor神似,可以自己编写测试脚本,支持Python和Ruby;2、0.9.5版本改进很大,不错。且扫描策略有亮点:如cookie缺乏HttpOnly属性3、开源。提供开发环境支持。以后自己写扫描器的话,也要学习下IronWASP4、支持导入burp日志,习惯使用burpsuite的童鞋有福了作者为印度人:Lavakumar Kuppan(http://in.linkedin.com/in/lavakumark)
阅读全文
摘要:转载请注明来源:http://www.cnblogs.com/phoenix--/archive/2013/04/12/3016332.html问题:post方式的注入验证时遇到了csrf token的阻止,原因是csrf是一次性的,失效导致无法测试。解决方案:Sqlmap配合burpsuite,以下为详细过程,参照国外牛人的blog(不过老外讲的不是很细致,不适合我等小白)。(英文好的可以直接看:http://labs.asteriskinfosec.com.au/fuzzing-and-sqlmap-inside-csrf-protected-locations-part-2/):1、打开
阅读全文
摘要:上传文件到outlook.com时候,突然发现自己一直用的nc是有毒的~~~迅速找到一个无毒版本(都忘记nc全名是NetCat了):http://eternallybored.org/misc/netcat/经过http://r.virscan.org 在线扫描后没有发现有任何杀毒软件报毒。备份下,本地下载另外,Nmap也有一个版本:http://nmap.org/ncat/,下载地址为:http://nmap.org/dist/ncat-portable-5.59BETA1.zipps:这个版本比较大,有1M多哦~~不过支持ssl的
阅读全文
摘要:在显卡很差的机器上,安装了virtualbox,一番操作之后发现只要启动kali linux中的浏览器,virtualbox就会崩溃,出现“无法响应”。更换了4.0-4.2的多个版本都无法解决。回想起开启了3D硬件加速,关闭后,浏览器正常打开,virtualbox正常运行。
阅读全文
摘要:装了kali linux后获取更新时发现无法获得已有更新,导致virtualbox增强功能无法安装,浏览器无法汉化等等问题这主要因为部分官方源未对国内开放,可以手动添加更新源:打开/etc/apt/sources.list添加以下更新源即可deb http://http.kali.org/kali kali main non-free contribdeb-src http://http.kali.org/kali kali main non-free contrib参考:http://www.hackme.info/thread-414-1-1.html
阅读全文
摘要:Installation failed!Error:安装时发生严重错误是因为安装时所使用的用户对C:\Config.Msi目录的权限不够。添加下权限就好了。
阅读全文
摘要:backtrack linux系列的下一代版本 kali linux已经发布,由中文版本,同时提供中文支持。官方网站:http://www.kali.org/支持网站:http://cn.docs.kali.org官方演示文档中使用的是virtualbox4.2.8,安装增强功能如下:启动Kali Linux虚拟机后,打开一个终端然执行如下命令来安装Linux内核头文件.apt-get update && apt-get install -y linux-headers-$(uname -r)(中文版中以上命令会提示没找到linux-headers-3.7-trunk-686-
阅读全文
摘要:偶然发现的一个安全站点:http://resources.infosecinstitute.com子栏目:http://resources.infosecinstitute.com/category/application-security-2/安全工具:超酷的Firefox 插件:HackBar(火狐插件搜索第一个结果)ps:之前有看到大牛的截图是这个,一直以为是商业工具。。。
阅读全文
摘要:转载请注明URL:http://www.cnblogs.com/phoenix--/archive/2012/01/01/2309552.html注:经过使用发现,单纯使用里面的BT工具,没有问题,但是涉及对系统的升级,或者安装其他软件会出现一些问题,如果想作为一个长期使用的工作平台,可以下载官方的R1版本,目前没遇到问题。种子下载请点击这里从独自等待那看到这个版本,但是找了好久都是国外的共享站点,免费下载限制超多,而且很不稳定。元旦放假正好有空,经过一天多的寻找,终于找到种子,已经在迅雷快传中分享,需要的可以去下载:http://kuai.xunlei.com/d/IICBJLARCGYC&
阅读全文
浙公网安备 33010602011771号