基于docker的sentry搭建过程

发布时间:April 13, 2017 // 2 Comments

最近拜读董伟明大牛的《python web实战开发》发现他推荐了一个神器sentry.恰好不久前还在和小伙伴讨论如何记录try--except的异常信息。发现刚好可以用上. ** 简介 ** Sentry’s real-time error tracking gives you insight into production deployments and information to...

阅读更多...

分类:运维工作,开发笔记,linux,windows,python,生活琐事

神秘小姐姐的留言板

发布时间:March 17, 2017 // No Comments

太久没有搞过这种耗脑子的游戏了 地址:http://c.bugscan.net/#!/boss/12 访问地址发现一任意文件读取 http://112.126.88.39:10247/include.php?file=suanfa.php 各种读以后发现medium.php中存在注入 <?php if ($_SERVER['HTTP_USER_AGENT'] != "s...

阅读更多...

分类:PHP,开发笔记,代码学习,代码审计

关于bugscan的屁事

发布时间:March 14, 2017 // No Comments

** 关于bugscan的使用 ** 从14年接触python,15年开始写bugscan插件到现在bugscan的改版.早起的爬虫,后来逆向客户端.主要的是为了它那个开源的插件,还有一个原因就是它的插件太方便了.它的生成有模板可用的. 早期写的教程 https://my.oschina.net/rookier/blog/393074 ** 逆向的辛酸苦辣 ** 最早我还会c++的时候写...

阅读更多...

分类:开发笔记,linux,python,windows

kali下安装Openvas

发布时间:March 11, 2017 // No Comments

今天发现做几个模型没有太大的思路,和小伙伴出去应急,顺便练练手看看还会不会渗透这个技术活.发现以前无聊的时候写的一些脚本还比较实在,但是局限性还是体现出来了.发现扫描的时候一些问题还是不能全部的体现出来.恰好小伙们有个kali的虚拟机,然后想到许久以前用过的openvas,给小伙伴拷贝了一份虚拟机回来安装试试 其实kali是有openvas这个玩意的,就是没有启动安装的脚本或者叫做...

阅读更多...

分类:linux,windows

burp出品的服务器端模板注入教程

发布时间:February 27, 2017 // 1 Comment

地址:http://blog.portswigger.net/2015/08/server-side-template-injection.html 好长..看了一下,却是讲的很清楚.. 抽空翻译下.. XSS 绕过的地址: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet https://html5sec.or...

阅读更多...

分类:工作日志,linux,转帖文章,windows

小型靶场一枚

发布时间:December 24, 2016 // 2 Comments

最近测试一些东西,需要用到靶场,类似xvwa,dvws这些.意外发现一个py的靶场,竟然可以满足大部分需求。主要是轻量级啊 其实整个文件代码很少,不足100行[实际99] #!/usr/bin/env python import BaseHTTPServer, cgi, cStringIO, httplib, json, os, pickle, random, re, socket...

阅读更多...

分类:工作日志,代码学习,python

改造dnslog的api为我们需要的输出方式

发布时间:December 13, 2016 // No Comments

以前有cloudeye,发现它的api友好的不得了,后来又尝试过一段时间的ceye.io就是ceye.io其实不稳定,后来把目光转向了dnslog不得不说dnslog的开源确实是方便,但是它的api确实是蛋疼的紧 比如我们有一个whoami的参数 通过api查询 http://webadmin.secevery.com/api/web/www/whoami/ 发现是false,...

阅读更多...

分类:开发笔记,linux,python,windows,生活琐事

About w3af_api

发布时间:November 23, 2016 // No Comments

今天看到了一个saas产品,和作者聊了下,发现是基于w3af_api来实现的。然后自己补充了其他的类型.感觉很厉害的样子。于是跑过来看了下w3af。相关的文档在这里 w3af算的上是老牌的东西了。反正我是比较少用的,总是感觉效果没有理想的那么好。比如它的爬虫模块太久没有更新了.导致现在出现的很多动态脚本的结果没发准确抓取到。对比下 - http://testphp.acunetix.c...

阅读更多...

分类:运维工作,工作日志,开发笔记,代码学习,linux,python,生活琐事

在线cms识别以及bugscan插件调用

发布时间:October 23, 2016 // No Comments

想着自己搞的话估计是比较符合自己的需求。但是问题就是太耗时了,估计覆盖面也不广泛。 恰逢遇到了http://whatweb.bugscaner.com/这个网站,发现它的覆盖面还是不错的。常见的cms都整合过去了。测试了几个发现误报率还是在可以接受的范围内.于是自动化。一个简单的demo.缺点是只能访问http一类的.https的不支持。它提交的时候会自动去掉http|https:// ...

阅读更多...

分类:开发笔记,linux,python,windows

MSSQL Agent Jobs for Command Execution

发布时间:October 7, 2016 // No Comments

The primary purpose of the Optiv attack and penetration testing (A&P) team is to simulate adversarial threat activity in an effort to test the efficacy of defensive security controls. Testing i...

阅读更多...

分类:运维工作,工作日志,linux,windows