上文我已经介绍了IIS短文件名暴力枚举漏洞的成因和利用。这里只是发出昨天写的脚本。脚本可以测试对应的URL是否存在漏洞，若存在漏洞，则猜解文件夹下所有的短文件名：包括文件和文件名。网上早前已经有公开的工具了：https://code.google.com/p/iis-shortname-scanner-poc/我没有参考他的代码。自己用python实现了一个漏洞利用脚本。简单测试，发现比上面的POC能猜解到更多的文件和文件夹。获取源代码：https://github.com/lijiejie/IIS_shortname_Scanner(已于Oct 27, 2016更新）测试： IIS_shortname_Scan.py http://stom.tencent.com最终结果：通过联想，就可以猜解到上传页：  http://stom.tencent.com/tapdupfile.aspx---------------------------------------------------------------- Dir: /aspnet~1 File: /logina~1.cs File: /tapdap~1.cs File: /tapdup~1.cs File: /queryg~1.ash* File: /queryi~1.ash* File: /queryp~1.ash* Fi ...继续阅读 (28)

家中PC上，端口扫描的python脚本多次出现pika connection closed的错误，同一脚本在办公机和虚机上从来没问题。比较奇怪，因为我比较谨慎，在需要延时的地方都使用了mq.conn.sleep()而非time.sleep()，也避免陷入一个长时的循环。connection closed一般是因为heartbeat timeout引起的，server主动关闭了连接。为了解决这个问题，在家中PC机上禁用heartbeat，参数heartbeat_interval设置为0：params = pika.ConnectionParameters(host=MQ_HOST, port=MQ_PORT, credentials=pika.credentials.PlainCredentials(MQ_USER, MQ_PASSWD), heartbeat_interval=0) self.conn = pika.BlockingConnection(parameters=params) ...继续阅读 (43)

有时候我会在自己的PC机上启一个dns代理服务器，用来记录本机所有的DNS查询，收集各大公司的域名。启动脚本的时候，会自动配置主DNS服务器到127.0.0.1，通过netsh命令实现即可：netsh interface ipv4 set dnsservers "本地连接" static 127.0.0.1 netsh interface ipv4 add dns name="本地连接" addr="8.8.8.8" index=2以上将主dns设置为127.0.0.1，辅dns服务器设置为8.8.8.8。同理，在代理程序中止的时候，又自动将DNS设置还原为原始IP。 ...继续阅读 (44)

昨天清理磁盘，整理旧文件的时候，轻信直接打开了wooyun zone里某位白帽子分享的工具，一时大意，中马了。PC机上有个360安全卫士，也没有一丁点的提示。。。（这木马过360的）随后我在修改subDomainsBrute的时候，抓dns query，惊讶地发现，出现了一个3322.org的域名，并且对应记录是不存在的，如下图：以前玩远控木马的同学可能知道，3322.0rg，花生壳之类的，常常被用来木马在内网反向上线的。所以，这个地方十分不正常，这让我意识到，有较大的几率已经中马了。用360安全卫士扫描，没有发现任何木马和危险项，之前也提到了，这个木马是过360的。现在的问题是，如何抓到这个木马，我绕了一个弯子，因为我想从dns query入手来查找（正确的做法是打开进程查看器，逐个进程检查）：我们已经知道，木马会主动去连likang.3322.org，但是wireshark是抓不到进程pid，它仅仅支持从某一网卡抓包，并不关心包来自于哪个进程即使能抓到DNS查询的对应进程，其实也只能抓到windows下的DNS Client：svchost.exe进程，实际并无意义，我们依然不知道背后到底是哪个进程在请求likang.3322.org在抓dns query源进程受阻的情况下，我想到，既然木马想访问likang.3322.org，而这个域名又不存在。 那么我应该可以欺骗它去访问我 ...继续阅读 (45)

在windows下写python的web漏扫脚本，有时候需要观察http连接数。可以使用如下批处理：@echo off :count echo|set /p="Num of HTTP Connections: " & netstat -na | find /C ":80" timeout 3 > nul GOTO count将上述脚本保存为http_conn.bat，在扫描时可以简单地监视http连接： ...继续阅读 (45)

为答谢广大白帽子对71SRC的支持和厚爱，特举行一次为期3个月的金币翻倍活动。活动时间2016/4/12 – 2016/6/30在上述时间内报告漏洞，可享受双倍金币奖励！活动规则71SRC收到的所有有效漏洞（已确认），金币奖励翻倍:a) 低危漏洞： 分值 1-2，金币系数3，单个漏洞奖励 3 – 10 金币b) 中危漏洞： 分值 3-5，金币系数4，单个漏洞奖励 12 – 50 金币c) 高危漏洞： 分值 6-9，金币系数10，单个漏洞奖励 60 – 200 金币d) 严重漏洞： 分值 9-12，金币系数20，单个漏洞奖励 180 – 500 金币同时，对于攻击成本很低，但能够影响到海量用户数据、影响VIP会员增值业务、影响支付业务的严重漏洞和威胁情报，原有的双倍积分计划可以叠加。补充活动相关规则，欢迎加入QQ群参与讨论71SRC白帽子交流群  130763408 ...继续阅读 (43)

很久没有写博客了，不太容易安静下来，做一些简单的总结。希望2016年可以多记录一些零散的想法。今天简单聊一下 RTLO的小问题。RTLO是一个8238的Unicode字符，它的作用是让紧跟在后面的字符串倒序：http://www.codetable.net/decimal/8238可以用来欺骗用户打开可执行文件（钓鱼攻击），或者欺骗后端应用的检查机制。例如，我这里有一个可执行文件，文件名是u'aaaa\u202eFDP.exe'的文件，202e是>> hex(8238) '0x202e'那么windows用户在资源管理器中看到的文件名将显示为aaaaexe.PDF，如果这个exe的图标正好PDF的图标，可能会欺骗用户点击执行。我示例将cmd.exe重命名为u'aaaa\u202eFDP.exe'，python中执行>> os.rename('cmd.exe', u'aaaa\u202eFDP.exe')用户在资源管理器中看到的效果就是aaaaexe.PDF（我这里特意大写了PDF）：不过，可以注意到，文档类型那一栏，依然是“应用程序”。而且一般的安全工具也能拦截这种欺骗攻击。本文参考链接：https://blog.malwarebytes.org/online-security/2014/01/the-rtlo-method/ ...继续阅读 (33)

招聘安全实习生一名，欢迎投递简历。地点： 北京 – 中关村技能要求：1. 理解常见web漏洞：SQL注入、XSS、CSRF、上传漏洞、解析漏洞、代码(命令)执行、逻辑缺陷等2. 熟练使用常见安全工具： awvs sqlmap nmap burpsuite appscan等3. 有一定的渗透测试经验，了解常见漏洞的挖掘和利用4. 熟练使用python和Linux(shell scripts)5. 有android/iOS客户端漏洞挖掘经验可加分, 熟悉主流web框架可加分,  有代码安全审计经验可加分6. 良好的沟通能力，自我驱动学习，喜欢用代码解决问题 投递邮箱：python -c "import base64; print base64.b64decode('bGlqaWVqaWVAcWl5aS5jb20=')"QQ:echo OTE4MjI2Mwo=|base64 -d  ...继续阅读 (57)

上周兴冲冲地申请了个wosign的免费SSL证书，用在博客http://www.lijiejie.com用了几天之后，发现性能实在无法接受。启用SSL后页面访问明显变慢太多了。而且在某些网络环境下，博客直接无法访问：比如北京比较坑爹的鹏博士宽带，或者移动4G环境。SSL handshake耗费了太多时间，而加密网页还需要消耗额外的CPU资源。无奈，只好又禁用了SSL，把所有https链接全部301重定向到http。待Google和百度重新收录。如果主机在内地，网络和性能都不错，还是可以考虑在登录等敏感操作的功能上应用SSL的，避免敏感信息在网络中明文传输。虽然选择了停用SSL，但毕竟搜索引擎已收录一些https页面。所以临时地，443端口对应的VirtualHost还必须保留SSLEngine启用状态。以便进行urlRewrite.禁用SSL之后，发现博客访问起来又恢复顺畅了！<VirtualHost *:443> ServerAdmin my[at]lijiejie.com ServerName www.lijiejie.com DocumentRoot /some_folder Redirect permanent / http://www.lijiejie.com/ SSLEngine on SSLOpt ...继续阅读 (32)

fastcgi文件读取（代码执行）是个很老的漏洞，漏洞描述：PHP FastCGI 的远程利用利用该漏洞可读取系统文件，甚至有一定几率成功执行代码。  下载上述文章中提到的：fcgi_exp协议细节其实我已不关心，只需要一个python的扫描脚本。于是拿wireshark抓了下GaRY的程序，写一小段代码。外网暴露9000端口的机器自然是非常非常少的，但内网可就说不定了。import socket import sys def test_fastcgi(ip): sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM); sock.settimeout(5.0) sock.connect((ip, 9000)) data = """ 01 01 00 01 00 08 00 00 00 01 00 00 00 00 00 00 01 04 00 01 00 8f 01 00 0e 03 52 45 51 55 45 53 54 5f 4d 45 54 48 4f 44 47 45 54 0f 08 53 45 52 56 45 52 5f 50 52 4f 54 4f 43 4f 4c 48 54 54 50 2f 31 2e 31 0d 01 4 ...继续阅读 (45)

fastcgi文件读取（代码执行）是个很老的漏洞，漏洞描述：PHP FastCGI 的远程利用利用该漏洞可读取系统文件，甚至有一定几率成功执行代码。  下载上述文章中提到的：fcgi_exp协议细节其实我已不关心，只需要一个python的扫描脚本。于是拿wireshark抓了下GaRY的程序，写一小段代码。外网暴露9000端口的机器自然是非常非常少的，但内网可就说不定了。import socket import sys def test_fastcgi(ip): sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM); sock.settimeout(5.0) sock.connect((ip, 9000)) data = """ 01 01 00 01 00 08 00 00 00 01 00 00 00 00 00 00 01 04 00 01 00 8f 01 00 0e 03 52 45 51 55 45 53 54 5f 4d 45 54 48 4f 44 47 45 54 0f 08 53 45 52 56 45 52 5f 50 52 4f 54 4f 43 4f 4c 48 54 54 50 2f 31 2e 31 0d 01 4 ...继续阅读 (40)

在北京租住的房间较小， 卧室仅12平方， 每个月却需要3000 rmb。当然，好处是离公司较近，每天可节省大约1个小时坐地铁的时间。 钱可再赚，时间却追不回来，不忍心看着时间被浪费掉。空间狭小，又已经有wooyun兑换的一台Mac pro，就没舍得再买台式机，实在没地方放了。但慢慢的，这就成了我的心结，我实在太想买一个台式机了。 纠结来纠结去，趁6.18京东有优惠活动，终于把机器买下，通过整理布置房间，总算是安置好了。 十分开心~每个人对台式机的定位和预期用途不同，硬件选择有差异。我主要看重的是计算能力。以下是我的装机清单，仅供参考：1.CPU:             英特尔（Intel） 酷睿i7-4790k 22纳米 Haswell全新架构盒装CPU处理器￥2110.572.主板：          微星（MSI） Z97 GAMING 3主板 （Intel Z97/LGA 1150）￥847.433.内存条：      金士顿(Kingston)骇客神条 Savage系列 DDR3 2400 8GB台式机内存 * 2￥758.004.硬盘：          三星（SAMSUNG）850 EVO系列 250G 2.5英寸 SATA-3固态硬盘(MZ-75E250B/CN)￥654.005.机箱：          游戏悍将（Game Demon）刀锋特战标准黑装 机箱 非对 ...继续阅读 (42)

在北京租住的房间较小， 卧室仅15平方， 每个月却需要3600 rmb。当然，好处是离公司较近，每天可节省大约1个小时坐地铁的时间。 钱可再赚，时间却追不回来，不忍心看着时间被浪费掉。空间狭小，又已经有wooyun兑换的一台Mac pro，就没舍得再买台式机，实在没地方放了。但慢慢的，这就成了我的心结，我实在太想买一个台式机了。 纠结来纠结去，趁6.18京东有优惠活动，终于把机器买下，通过整理布置房间，总算是安置好了。 十分开心~每个人对台式机的定位和预期用途不同，硬件选择有差异。我主要看重的是计算能力。以下是我的装机清单，仅供参考：1.CPU:             英特尔（Intel） 酷睿i7-4790k 22纳米 Haswell全新架构盒装CPU处理器￥2110.572.主板：          微星（MSI） Z97 GAMING 3主板 （Intel Z97/LGA 1150）￥847.433.内存条：      金士顿(Kingston)骇客神条 Savage系列 DDR3 2400 8GB台式机内存 * 2￥758.004.硬盘：          三星（SAMSUNG）850 EVO系列 250G 2.5英寸 SATA-3固态硬盘(MZ-75E250B/CN)￥654.005.机箱：          游戏悍将（Game Demon）刀锋特战标准黑装 机箱 非对 ...继续阅读 (30)

最近百度的同学liushusheng[at]baidu.com向php反馈了一个Multipart/form-data 远程拒绝服务的安全漏洞。攻击者可以构造并持续发送畸形HTTP请求，恶意占用系统资源。简单测试，多线程持续发包，可以让一些性能较低的网站延长响应时间，甚至是直接出错。在我的测试机上，一旦攻击开始，CPU占用率会很快飙升至99%。从下图可以看到，cpu一栏，占用率是很高的。(我的VPS是8 vcpu)最新释出的 php5.6.9(2015.5.14)已经修复了这个问题。虽然攻击过程必须持续发包，并且性能好的服务器很难被打挂，但仍然大家建议更新修复这个问题。我在自己vps上更新了php 5.6.9（配合apache），简单记录一下基本的操作步骤：php -v #可以先检查下自己当前的版本 apt-get install libxml2-dev apt-get install apache2-dev wget http://cn2.php.net/distributions/php-5.6.9.tar.bz2 tar -xvf php-5.6.9.tar.bz2 cd php-5.6.9/ which apxs # 确认找到apxs的路径 ./configure --with-apxs2=`which apxs` --with-mysql m ...继续阅读 (41)

最近百度的同学liushusheng[at]baidu.com向php反馈了一个Multipart/form-data 远程拒绝服务的安全漏洞。攻击者可以构造并持续发送畸形HTTP请求，恶意占用系统资源。简单测试，多线程持续发包，可以让一些性能较低的网站延长响应时间，甚至是直接出错。在我的测试机上，一旦攻击开始，CPU占用率会很快飙升至99%。从下图可以看到，cpu一栏，占用率是很高的。(我的VPS是8 vcpu)最新释出的 php5.6.9(2015.5.14)已经修复了这个问题。虽然攻击过程必须持续发包，并且性能好的服务器很难被打挂，但仍然大家建议更新修复这个问题。我在自己vps上更新了php 5.6.9（配合apache），简单记录一下基本的操作步骤：php -v     #可以先检查下自己当前的版本 apt-get install libxml2-dev apt-get install apache2-dev wget http://cn2.php.net/distributions/php-5.6.9.tar.bz2 tar -xvf php-5.6.9.tar.bz2 cd php-5.6.9/ which apxs    # 确认找到apxs的路径 ./configure --with-apxs2=`which a ...继续阅读 (37)

这一篇介绍不带逗号注入。 之所以不带逗号，多半是因为它被当做分隔符，或者是被脚本过滤了。比如这样一个URL：http://www.target.com/index.php?cate=1,2,3,4,5参数cate可以注入，但是不能使用逗号，因为逗号被脚本作为分隔符预处理。这种注射点的利用方法是使用数学运算函数在子查询中报错，比如exp函数（参考EXP(X)）,  MySQL会把子查询的中间结果暴露出来。这里我发了一个例子到wooyun:17173游戏某站点MySQL报错注入(不带逗号注入的猜解过程)select exp(~(select*from(select user())a))MySQL报错：mysql> select exp(~(select*from(select user())a));ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual)))'这样我们就得到了当前user()是root@localhost。exp(x)函数的作用： 取常数e的x次方，其中，e是自然对数的底。~x 是一个一元运算符，将x按位取补。举个例子：mysql> select hex(2);+--------+| hex(2) |+--------+| 2 |+---- ...继续阅读 (73)

这一篇介绍不带逗号注入。 之所以不带逗号，多半是因为它被当做分隔符，或者是被脚本过滤了。比如这样一个URL：http://www.target.com/index.php?cate=1,2,3,4,5参数cate可以注入，但是不能使用逗号，因为逗号被脚本作为分隔符预处理。这种注射点的利用方法是使用数学运算函数在子查询中报错，比如exp函数（参考EXP(X)）,  MySQL会把子查询的中间结果暴露出来。这里我发了一个例子到wooyun:17173游戏某站点MySQL报错注入(不带逗号注入的猜解过程)select exp(~(select*from(select user())a))MySQL报错：mysql> select exp(~(select*from(select user())a));ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual)))'这样我们就得到了当前user()是root@localhost。exp(x)函数的作用： 取常数e的x次方，其中，e是自然对数的底。~x 是一个一元运算符，将x按位取补。举个例子：mysql> select hex(2);+--------+| hex(2) |+--------+| 2 ...继续阅读 (43)

当前大量开发人员使用git进行版本控制，对站点自动部署。  如果配置不当，可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。GitHack是一个.git泄露利用脚本，通过泄露的.git文件夹下的文件，还原重建工程源代码。渗透测试人员、攻击者，可以进一步审计代码，挖掘：文件上传，SQL注射等安全漏洞。脚本的工作原理：解析.git/index文件，找到工程中所有的： ( 文件名，文件sha1 )去.git/objects/ 文件夹下下载对应的文件zlib解压文件，按原始的目录结构写入源代码它的优点：速度快，默认20个工作线程尽量还原所有的源代码，缺失一部分文件不影响脚本工作脚本不需要执行额外的git命令，All you need is python脚本无需浏览目录可能的改进：存在文件被gc打包到git\objects\pack的情况，稍后可测试下看能否直接获取并解压这个文件，还原源代码用法示例：GitHack.py http://www.hoolai.com/.git/执行中截图：执行结果：获取代码：https://github.com/lijiejie/GitHack参考资料：Git Index Formart非常感谢 sbp 的gin - a Git index file parser，脚本中使用了他的解析源代码，为适用python 2.x和Windows作了细微 ...继续阅读 (47)

当前大量开发人员使用git进行版本控制，对站点自动部署。  如果配置不当，可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。GitHack是一个.git泄露利用脚本，通过泄露的.git文件夹下的文件，还原重建工程源代码。渗透测试人员、攻击者，可以进一步审计代码，挖掘：文件上传，SQL注射等安全漏洞。脚本的工作原理：解析.git/index文件，找到工程中所有的： ( 文件名，文件sha1 )去.git/objects/ 文件夹下下载对应的文件zlib解压文件，按原始的目录结构写入源代码它的优点：速度快，默认20个工作线程尽量还原所有的源代码，缺失一部分文件不影响脚本工作脚本不需要执行额外的git命令，All you need is python脚本无需浏览目录可能的改进：存在文件被gc打包到git\objects\pack的情况，稍后可测试下看能否直接获取并解压这个文件，还原源代码用法示例：GitHack.py http://www.hoolai.com/.git/执行中截图：执行结果：获取代码：https://github.com/lijiejie/GitHack参考资料：Git Index Formart非常感谢 sbp 的gin - a Git index file parser，脚本中使用了他的解析源代码，为适用python 2.x和Windows作了细微 ...继续阅读 (28)

更新日志：2015-4-2  修复了在Linux系统下进度条输出混乱的bug，填充空格以清空原始输出渗透测试时，前期的信息收集包括主机（服务）发现。 子域名暴力枚举是十分常用的主机查找手段。我写了一个改进的小脚本，用于暴力枚举子域名，它的改进在于：用小字典递归地发现三级域名，四级域名、五级域名等不容易被探测到的域名字典较为全面，小字典就包括3万多条，大字典多达8万条默认使用114DNS、百度DNS、阿里DNS这几个快速又可靠的公共DNS进行查询，可随时修改配置文件添加你认为可靠的DNS服务器自动筛选泛解析的域名，当前规则是： 超过10个域名指向同一IP，则此后发现的其他指向该IP的域名将被丢弃整体速度还过得去，在我的PC上，每秒稳定扫描100到200个域名（10个线程）以下是我扫描baidu.com得到的结果，共发现1521个域名，能找到不少内网域名和IP，效果还是非常不错的。它甚至可以发现这样的域名：data.test.noah.baidu.com [10.36.166.17]未经改进的工具通常是探测不到这个域名的。扫描其他几家公司，情况一样，可以发现不少内网域名、IP（段）、甚至是十分隐蔽的后台。这就是不做private DNS 和 public DNS隔离的坏处啊，内网的相关拓扑和服务轻易暴露给黑客了。http://www.lijiejie.com/wp-content/up ...继续阅读 (43)

更新日志：2015-4-2  修复了在Linux系统下进度条输出混乱的bug，填充空格以清空原始输出渗透测试时，前期的信息收集包括主机（服务）发现。 子域名暴力枚举是十分常用的主机查找手段。我写了一个改进的小脚本，用于暴力枚举子域名，它的改进在于：用小字典递归地发现三级域名，四级域名、五级域名等不容易被探测到的域名字典较为全面，小字典就包括3万多条，大字典多达8万条默认使用114DNS、百度DNS、阿里DNS这几个快速又可靠的公共DNS进行查询，可随时修改配置文件添加你认为可靠的DNS服务器自动筛选泛解析的域名，当前规则是： 超过10个域名指向同一IP，则此后发现的其他指向该IP的域名将被丢弃整体速度还过得去，在我的PC上，每秒稳定扫描100到200个域名（10个线程）以下是我扫描baidu.com得到的结果，共发现1521个域名，能找到不少内网域名和IP，效果还是非常不错的。它甚至可以发现这样的域名：data.test.noah.baidu.com [10.36.166.17]未经改进的工具通常是探测不到这个域名的。扫描其他几家公司，情况一样，可以发现不少内网域名、IP（段）、甚至是十分隐蔽的后台。这就是不做private DNS 和 public DNS隔离的坏处啊，内网的相关拓扑和服务轻易暴露给黑客了。http://www.lijiejie.com/wp-content/up ...继续阅读 (37)

邮箱和VPN安全，是企业安全运营的一大重点。而邮箱安全，却又常常成为企业安全的薄弱环节，攻击者经常借邮箱作为突破口，渗透企业内网。简单地说，若没有有效的二次认证手段，VPN安全和邮箱安全是无法从根本上得到保证的。今天讨论一种简单SMTP二次认证的实现方法。概述首先，SMTP服务不再直接暴露于外部不受信任的网络中，搬到内网。对内通过修改private DNS，内网主机可直接访问smtp服务器，因此，内网中所有服务均不受影响。外部网络 <---> [SMTP防火墙] <---> 内网SMTP服务器 <--> 内网主机外网必须通过防火墙（or 代理）来访问SMTP服务器。代理的作用1. 实现双因子认证2. 主动拦截异常访问，主动报警3. 安全审计双因子认证功能的实现SMTP是一个很简单的协议，考虑可以加入双因子认证的元素，只能是“用户名”、“密码”、“域名”、“端口”中的某一个。我们考虑将这个因子附加到用户名中。于是，用户在PC或手机上配置SMTP时，必须将用户名修改成系统提供的转换后的值，方可认证成功。而直接使用用户名，则是无法完成认证的。举个例子，我的邮箱是lijiejie@security.com，配置必须是：Server:  smtpProxy.security.com      （代理服务器）Port:      25                               ...继续阅读 (42)

邮箱和VPN安全，是企业安全运营的一大重点。而邮箱安全，却又常常成为企业安全的薄弱环节，攻击者经常借邮箱作为突破口，渗透企业内网。简单地说，若没有有效的二次认证手段，VPN安全和邮箱安全是无法从根本上得到保证的。今天讨论一种简单SMTP二次认证的实现方法。概述首先，SMTP服务不再直接暴露于外部不受信任的网络中，搬到内网。对内通过修改private DNS，内网主机可直接访问smtp服务器，因此，内网中所有服务均不受影响。外部网络 <---> [SMTP防火墙] <---> 内网SMTP服务器 <--> 内网主机外网必须通过防火墙（or 代理）来访问SMTP服务器。代理的作用1. 实现双因子认证2. 主动拦截异常访问，主动报警3. 安全审计双因子认证功能的实现SMTP是一个很简单的协议，考虑可以加入双因子认证的元素，只能是“用户名”、“密码”、“域名”、“端口”中的某一个。我们考虑将这个因子附加到用户名中。于是，用户在PC或手机上配置SMTP时，必须将用户名修改成系统提供的转换后的值，方可认证成功。而直接使用用户名，则是无法完成认证的。举个例子，我的邮箱是lijiejie@security.com，配置必须是：Server:  smtpProxy.security.com      （代理服务器）Port:      25             ...继续阅读 (45)

nmap是所有安全爱好者应该熟练掌握的扫描工具，本篇介绍其在扫描大网络空间时的用法。为什么要扫描大网络空间呢？ 有这样的情形：内网渗透   攻击者单点突破，进入内网后，需进一步扩大成果，可以先扫描整个私有网络空间，发现哪些主机是有利用价值的，例如10.1.1.1/8, 172.16.1.1/12, 192.168.1.1/16全网扫描扫描一个巨大的网络空间，我们最关心的是效率问题，即时间成本。 在足够迅速的前提下，宁可牺牲掉一些准确性。扫描的基本思路是高并发地ping：nmap -v -sn -PE -n --min-hostgroup 1024 --min-parallelism 1024 -oX nmap_output.xml www.lijiejie.com/16-sn    不扫描端口，只ping主机-PE   通过ICMP echo判定主机是否存活-n     不反向解析IP地址到域名--min-hostgroup 1024    最小分组设置为1024个IP地址，当IP太多时，nmap需要分组，然后串行扫描--min-parallelism 1024  这个参数非常关键，为了充分利用系统和网络资源，我们将探针的数目限定最小为1024-oX nmap_output.xml    将结果以XML格式输出，文件名为nmap_output.xml一旦扫描结束，解析XML文档即可 ...继续阅读 (35)

nmap是所有安全爱好者应该熟练掌握的扫描工具，本篇介绍其在扫描大网络空间时的用法。为什么要扫描大网络空间呢？ 有这样的情形：内网渗透   攻击者单点突破，进入内网后，需进一步扩大成果，可以先扫描整个私有网络空间，发现哪些主机是有利用价值的，例如10.1.1.1/8, 172.16.1.1/12, 192.168.1.1/16全网扫描扫描一个巨大的网络空间，我们最关心的是效率问题，即时间成本。 在足够迅速的前提下，宁可牺牲掉一些准确性。扫描的基本思路是高并发地ping：nmap -v -sn -PE -n --min-hostgroup 1024 --min-parallelism 1024 -oX nmap_output.xml www.lijiejie.com/16-sn    不扫描端口，只ping主机-PE   通过ICMP echo判定主机是否存活-n     不反向解析IP地址到域名--min-hostgroup 1024    最小分组设置为1024个IP地址，当IP太多时，nmap需要分组，然后串行扫描--min-parallelism 1024  这个参数非常关键，为了充分利用系统和网络资源，我们将探针的数目限定最小为1024-oX nmap_output.xml    将结果以XML格式输出，文件名为nmap_output.xml一旦扫描结束，解析XML文档即可 ...继续阅读 (29)

近来我和同事观察到wooyun平台上较多地出现了“任意文件读取漏洞”，类似：Wooyun：优酷系列服务器文件读取攻击者通过请求http://220.181.185.228/../../../../../../../../../etc/sysconfig/network-scripts/ifcfg-eth1或类似URL，可跨目录读取系统敏感文件。 显然，这个漏洞是因为WebServer处理URL不当引入的。我们感兴趣的是，这到底是不是一个通用WebServer的漏洞。经分析验证，我们初步得出，这主要是由于开发人员在python代码中不安全地使用open函数引起，而且低版本的django自身也存在漏洞。1. 什么是目录遍历漏洞“目录遍历漏洞”的英文名称是Directory Traversal 或 Path Traversal。指攻击者通过在URL或参数中构造../..%2F/%c0%ae%c0%ae/%2e%2e%2f或类似的跨父目录字符串，完成目录跳转，读取操作系统各个目录下的敏感文件。很多时候，我们也把它称作“任意文件读取漏洞”。2. Python和Django的目录遍历漏洞历史上python和django曾爆出多个目录遍历漏洞，例如：CVE-2009-2659Django directory traversal flawCVE-2013-4315python-django: di ...继续阅读 (59)

近来我和同事观察到wooyun平台上较多地出现了“任意文件读取漏洞”，类似：Wooyun：优酷系列服务器文件读取攻击者通过请求http://220.181.185.228/../../../../../../../../../etc/sysconfig/network-scripts/ifcfg-eth1或类似URL，可跨目录读取系统敏感文件。 显然，这个漏洞是因为WebServer处理URL不当引入的。我们感兴趣的是，这到底是不是一个通用WebServer的漏洞。经分析验证，我们初步得出，这主要是由于开发人员在python代码中不安全地使用open函数引起，而且低版本的django自身也存在漏洞。1. 什么是目录遍历漏洞“目录遍历漏洞”的英文名称是Directory Traversal 或 Path Traversal。指攻击者通过在URL或参数中构造../..%2F/%c0%ae%c0%ae/%2e%2e%2f或类似的跨父目录字符串，完成目录跳转，读取操作系统各个目录下的敏感文件。很多时候，我们也把它称作“任意文件读取漏洞”。2. Python和Django的目录遍历漏洞历史上python和django曾爆出多个目录遍历漏洞，例如：CVE-2009-2659Django directory traversal flawCVE-2013-4315python-django: di ...继续阅读 (28)

我在一个python脚本中用到了WMI，用于确保杀死超时却未能自己结束的进程 (已经先尝试了Ctrl+Break中止)。测试代码运行正常，但当我把这个函数放在子线程中使用时，却发现报错：com_error: (-2147221020, 'Invalid syntax', None, None)后来在网上检索，发现必须添加初始化函数和去初始化函数，所以在一个子线程中可使用的函数代码类似于：import win32com.client import pythoncom import subprocess import logging def task_kill_timeout(timeout): pythoncom.CoInitialize() WMI = win32com.client.GetObject('winmgmts:') all_process = WMI.ExecQuery('SELECT * FROM Win32_Process where Name="aaa.exe" or Name="bbb.exe" or Name="ccc.exe"') for process in all_process: t = process.CreationDate t = t[:t.find('.')] ...继续阅读 (47)

我在一个python脚本中用到了WMI，用于确保杀死超时却未能自己结束的进程 (已经先尝试了Ctrl+Break中止)。测试代码运行正常，但当我把这个函数放在子线程中使用时，却发现报错：com_error: (-2147221020, 'Invalid syntax', None, None)后来在网上检索，发现必须添加初始化函数和去初始化函数，所以在一个子线程中可使用的函数代码类似于：import win32com.client import pythoncom import subprocess import logging def task_kill_timeout(timeout): pythoncom.CoInitialize() WMI = win32com.client.GetObject('winmgmts:') all_process = WMI.ExecQuery('SELECT * FROM Win32_Process where Name="aaa.exe" or Name="bbb.exe" or Name="ccc.exe"') for process in all_process: t = process.CreationDate t = t[:t.find('.')] ...继续阅读 (43)