一个简单的HTTP暴力破解python脚本

在以往的渗透测试过程中,我常使用暴力破解来作为突破口。

破解过包括ADSL、客户端软件账号、web后台、NT Server、SSH、FTP、MySQL、Email等,

主要通过两种方式:

1. 基于协议暴力破解

2. 模拟点击、模拟按键等进行客户端暴力破解

当然,其中还涉及到ADSL重新拨号换IP、验证码识别的细节。

前述到此。

下面是我写的一个非常简短的Python脚本,用于http暴力破解。

继续阅读一个简单的HTTP暴力破解python脚本

对VPS和wordpress博客进行简单的安全配置

以前用的VPS快到期了,换了个低端Ubuntu VPS,一个月大约35元人民币。

之前用的是windows VPS,1G RAM、2CPU、7个IP,配置更高,流量也更多,方便跑自己写的小程序。

下面简述我对VPS做过的一些安全配置:

1. 修改SSH端口号

ssh连接之后,输入:

vi /etc/ssh/sshd_config

将Port 22修改为监听另一个端口号即可,比如55555。

修改后重启一下ssh服务:

service ssh restart

以后就可以使用对应的55555端口连接ssh了。

2. 禁止root远程登录ssh

继续阅读对VPS和wordpress博客进行简单的安全配置

分析开心网android客户端暴力破解漏洞

2012年11月5日,我对开心网android客户端做了简单的安全测试,发现其存在暴力破解漏洞。

在测试android应用之前,我们需要安装 Android SDK

自己常用的几个抓包工具有:

1. winsock Expert    它非常小巧,但不能抓https

2. wireshark              让人叹服、强大的抓包分析工具,可用于逆向客户端协议,如QQ、迅雷

3. HttpWatch            可以抓https,推荐

4. MiniSniffer           小巧,但其无法智能地decode,常显示乱码

5. Chrome和FireFox的开发者工具    浏览器自带的开发者工具,对于分析web应用非常方便

前述到此。

 

继续阅读分析开心网android客户端暴力破解漏洞

64位系统下使用“西工大的猫”一键代理

暑假期间,每天只有大约2500人在使用“西工大的猫”了。

但开学后,可能仍旧有同学会遇到这个问题:如何在64位windows上使用“西工大的猫”。

1. 下载并安装:  http://www.xigongda.org

2. 若运行时产生一个”StackHash” APPcrash,

可以依次在桌面上右键选择 “计算机” -> “属性” -> “高级系统设置” -> “高级”,

在 “性能” 选项中 “设置”,

选择”数据执行保护” -> “为除下列选定程序之外的所有程序和服务启用 DEP” ,

添加程序文件 NPUcat.exe 即可。

NPUcat.exe位于你安装时选择的目录。例如:

“C:\Program Files\西工大的猫\NPUCat.exe”

第一个Tkinter程序,sibDomains工具

前两天看了Python的界面开发包Tkinter(Tk interface)。
某种程度上,它算是Python的标准UI库,无需另外安装。
今天尝试写了第一个小程序,用来查询跟指定域名host在同一DNS server的域名列表。
实际上它等同于nslookup中ls命令的作用。但为了安全,绝大部分DNS服务器都会禁止ls的。

sibDomains
继续阅读第一个Tkinter程序,sibDomains工具

python MySQLdb API手册

python访问MySQL server,可以使用 _mysql模块, 也可使用进一步封装过的MySQLdb包。

若使用MySQLdb,则需要单独安装。

今天发现MySQLdb的API手册居然被墙了… …

它的原始链接是: http://mysql-python.sourceforge.net/MySQLdb-1.2.2/

我把这个手册下载并上传到自己的博客上,供需要的朋友参考。

https://www.lijiejie.com/python/MySQLdb/

 

继续阅读python MySQLdb API手册