在以往的渗透测试过程中,我常使用暴力破解来作为突破口。
破解过包括ADSL、客户端软件账号、web后台、NT Server、SSH、FTP、MySQL、Email等,
主要通过两种方式:
1. 基于协议暴力破解
2. 模拟点击、模拟按键等进行客户端暴力破解
当然,其中还涉及到ADSL重新拨号换IP、验证码识别的细节。
前述到此。
下面是我写的一个非常简短的Python脚本,用于http暴力破解。
在以往的渗透测试过程中,我常使用暴力破解来作为突破口。
破解过包括ADSL、客户端软件账号、web后台、NT Server、SSH、FTP、MySQL、Email等,
主要通过两种方式:
1. 基于协议暴力破解
2. 模拟点击、模拟按键等进行客户端暴力破解
当然,其中还涉及到ADSL重新拨号换IP、验证码识别的细节。
前述到此。
下面是我写的一个非常简短的Python脚本,用于http暴力破解。
以前用的VPS快到期了,换了个低端Ubuntu VPS,一个月大约35元人民币。
之前用的是windows VPS,1G RAM、2CPU、7个IP,配置更高,流量也更多,方便跑自己写的小程序。
下面简述我对VPS做过的一些安全配置:
ssh连接之后,输入:
vi /etc/ssh/sshd_config
将Port 22修改为监听另一个端口号即可,比如55555。
修改后重启一下ssh服务:
service ssh restart
以后就可以使用对应的55555端口连接ssh了。
2012年11月5日,我对开心网android客户端做了简单的安全测试,发现其存在暴力破解漏洞。
在测试android应用之前,我们需要安装 Android SDK。
自己常用的几个抓包工具有:
1. winsock Expert 它非常小巧,但不能抓https
2. wireshark 让人叹服、强大的抓包分析工具,可用于逆向客户端协议,如QQ、迅雷
3. HttpWatch 可以抓https,推荐
4. MiniSniffer 小巧,但其无法智能地decode,常显示乱码
5. Chrome和FireFox的开发者工具 浏览器自带的开发者工具,对于分析web应用非常方便
前述到此。
暑假期间,每天只有大约2500人在使用“西工大的猫”了。
但开学后,可能仍旧有同学会遇到这个问题:如何在64位windows上使用“西工大的猫”。
1. 下载并安装: http://www.xigongda.org
2. 若运行时产生一个”StackHash” APPcrash,
可以依次在桌面上右键选择 “计算机” -> “属性” -> “高级系统设置” -> “高级”,
在 “性能” 选项中 “设置”,
选择”数据执行保护” -> “为除下列选定程序之外的所有程序和服务启用 DEP” ,
添加程序文件 NPUcat.exe 即可。
NPUcat.exe位于你安装时选择的目录。例如:
“C:\Program Files\西工大的猫\NPUCat.exe”
前两天看了Python的界面开发包Tkinter(Tk interface)。
某种程度上,它算是Python的标准UI库,无需另外安装。
今天尝试写了第一个小程序,用来查询跟指定域名host在同一DNS server的域名列表。
实际上它等同于nslookup中ls命令的作用。但为了安全,绝大部分DNS服务器都会禁止ls的。
python访问MySQL server,可以使用 _mysql模块, 也可使用进一步封装过的MySQLdb包。
若使用MySQLdb,则需要单独安装。
今天发现MySQLdb的API手册居然被墙了… …
它的原始链接是: http://mysql-python.sourceforge.net/MySQLdb-1.2.2/
我把这个手册下载并上传到自己的博客上,供需要的朋友参考。
https://www.lijiejie.com/python/MySQLdb/