CSSG是一款功能强大的Cobalt Strike Shellcode生成工具。本质上来说,CSSG是一个具备攻击性的Python脚本,广大研究人员可以使用它来轻松生成并格式化信标Shellcode。
先来地址:Github: https://github.com/mr-m0nst3r/Burpy
一直用 Django 在开发一个网站项目,其中的注册用户和登录,都是使用Django自带的认证系统。主要是对密码的加密,在注册或者登录的时候,前端传递多来的密码,我会使用Django的set_password()方法在加密一次
“用指尖改变世界” 📷 F5 Networks的安全研究人员已经发现了一个新的Linux加密僵尸网络并将其命名为“PyCryptoMiner”,它正在扩展到SSH协议上。 根据研究人员的描述,PyCryptoMiner主要包括以下五个特性: 基于Python脚本语言,意味着很难被检测到; 在原始命令和控制(C&C)服务器不可用时,利用Pastebin[.]com(在用户名“WHATHAPPEN”下)接收新的C&C服务器分配; 注册人与超过3.6万个域名相关联,其中一些域名自2012年以来一直以诈骗、赌博和成
https://www.howtouselinux.com/post/ssl-vs-tls-and-how-to-check-tls-version-in-linux
比如不久前的复旦大佬,用130行Python代码硬核搞定核酸统计,大大提升了效率,节省了不少时间。
在Shiro反序列化漏洞修复的过程中,如果仅进行Shiro的版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。
前言 H5移动应用作为个人生活、办公和业务支撑的重要部分,也面临着来自移动平台的安全风险,不仅仅来自于病毒,更多的是恶意的攻击行为、篡改行为和钓鱼攻击。关于H5页面的安全测试,业务逻辑功能测试基本和WEB渗透测试是通用的。 从业务安全角度考虑,一般客户端与服务端通信会进行加密,防止被刷单、薅羊毛等攻击,需要对数据加密加密处理。所以我们必须了解各种加密方式。开发者常会用到AES(Advanced Encryption Standard)加密算法,在此对H5页面的漏洞挖掘案例分享给大家。 前置知识 AES加密模
上次写过一篇文章,那篇文章主要是是针对移动应用进行加解密处理的,今天我们要说的是WEB端的加解密处理方式。
今年年初的时候,我写了一篇:别再问我Python打包成exe了!(终极版),相信解决了不少小伙伴的Pyinstaller打包问题。
Web登录界面是网站前台进入后台的通道,针对登录管理界面,常见的web攻击如:SQL注入、XSS、弱口令、暴力猜解等。本文主要对web暴力猜解的思路做一个简单的分析,并结合漏洞实例进行阐述。
好多工具都是python写的,如果目标机器是linux的话自带python环境可以很方便的运行这些工具,但是windows下是不自带python环境的,所以一种办法是直接在目标环境安装一个python,另外一种就是直接在内存加载python脚本。
只要一小段Python代码,就可以发动一场针对VMware ESXi服务器的、闪电战般的勒索攻击。从最初的入侵到最后的加密,整个过程只需要不到三个小时。
在性能测试领域,JMeter已经成为测试专业人士的首选工具,用于模拟用户行为、测量响应时间、评估系统性能。而现在大部分接口都会涉及到验签、签名、加密等操作,为了满足特定需求,我们需要更多的灵活性,比如引入Python来进行特定操作或处理复杂逻辑。(特别是针对一些只会Python编程, 不擅长Java的)
举个例子。针对腾讯视频考虑顺序: 1、网页端:https://v.qq.com/ 2、移动端:https://m.v.qq.com/index.html 3、客户端:通过charles设置代理抓取 4、App
Mediator是一款功能强大的可扩展端到端加密反向Shell,该工具基于新型架构实现,采用Python语言开发,能够帮助广大研究人员通过一台“Mediator”服务器来跟Shell建立连接。这样一来,研究人员就不需要处理程序设置端口转发以侦听连接。除此之外,Mediator还可以帮助我们创建插件来扩展反向Shell的功能。
Python越来越热门了,2019年3月TIOBE编程语言排行榜上,Python更是罕见的击败了“霸榜三巨头”之一的C++,挤进前三。
凯撒密码加密时将明文中的每个字母都按照其在字母表中的顺序向后(或向前)移动固定数目(循环移动)得到密文,解密时将密文中的每个字母都按照其在字母表中的顺序向前(或向后)移动固定数目(循环移动)得到明文。
您是否厌倦了在日常工作中做那些重复性的任务?简单但多功能的Python脚本可以解决您的问题。
调试(Debug)阶段有时是相当具有挑战性及耗时的,Python的一些基本功能可以帮助我们快速调试。除了我们常用的Pycharm,还有哪些不错的工具呢?
针对Apache Log4j漏洞(也称为Log4Shell),以下是一个基本的Python脚本,用于扫描目标主机并检查是否存在漏洞:
作为一种流行语言,在不同的应用领域,利用Python书写的工具越来越多。Python具有应用领域广泛、简单易学、功能强大等特点,但是在很多场合它也具有一些较难克服的缺点:
Unicode:2字节=16bit,2^16-1=65535 a-字节 你-2字节
介绍:又一次公司的测内网系统项目的出现了流量加密,于是进行前端调试js逆向后对其流量反解密进行渗透(一次简单记录分享,大佬勿喷)
Shellcode加载器是一种基本的规避技术。尽管shellcode加载器通常可以促进payload的初始执行,但是启发式检测方法仍可以标记payload的其他方面和行为。例如,很多安全产品可能会在内存中时对其进行检测,或者将特定的网络流量检测为恶意。我们将研究一些适合与加载器结合使用的后期开发框架,并研究如何嵌入其他类型的二进制文件(例如.NET和已编译的PE二进制文件)。
普普通通黑底白字地敲代码太枯燥?那么,把Python脚本可视化怎么样?就像这样,从输入图片、调整尺寸到双边滤波,每一步都能看得清清楚楚明明白白。
微信Mars——xlog使用全解析 如约而至,微信在12月19日开源了底层的通信库——Mars,其中有一个部分,是一个高性能的日志模块——xlog。 xlog的详细介绍,大家可以参考微信技术公众号的这篇文章——微信终端跨平台组件 mars 系列(一) - 高性能日志模块xlog。 本篇文章将带领大家将xlog模块抽取出来,作为一个单独的模块来使用。 编译so库 首先,我们clone下Mars的源码,然后进入其中的libraries目录,直接执行下面的Python脚本: pyt
这是一个真实的案例:就在上个月,小编的朋友,一位银行高管不慎点开了一封邮件的附件,真真切切的遭遇了原本以为只有在FreeBuf上看到的“新鲜玩意”——勒索软件。如同本文的主角TeslaCrypt一样,他的电脑被彻底加密,只有依照软件提示交付赎金才能恢复,这让我的朋友欲哭无泪…… Cisco(思科)公司近日在对勒索软件TeslaCrypt经过长期的分析后,近日发布了一款解密工具,这款工具能够解密被TeslaCrypt勒索而加密的文件。 FreeBuf百科:勒索木马 勒索软件是一种近年来愈发流行的木马,这些
测试小程序的逻辑漏洞经常会遇到sign签名标识,若不知道sign的生成方式,只篡改参数的值无法修改sign的值,那么漏洞测试就很难进行下一步。本篇分享将围绕如何绕过小程序sign标识展开
另外,之前不想那么麻烦写代码,还去找了一个叫做按键精灵的软件来模拟执行。不过那个软件是模拟鼠标和键盘,所以执行的时候会有界面出现,而且你的鼠标和键盘不能动,所以后来放弃了。如果觉得这个麻烦也可以试试那个。可以生成一个按键小精灵的exe,用计划任务定时执行。这个软件也很邪教啊,还可以自动截图。
上一期已经给大家分享了RSA的基本解题思路,总结如下,本期带来几种复杂的RSA题目解法。 以上都是基本解法,基于n能够分解的前提下进行的解法,但是当题目n的长度达到2048、4096bit以上的级别的
今天分享的是每天自动在网易云音乐刷完300首歌,让你的账号快速升级(等级数据每天下午2点更新),关于等级特权 这里有介绍 https://music.163.com/#/level/details ,最高级lv10有100G音乐云盘免费容量。
去年,我们进行了项目的拆分,拆分后的各个子系统也都逐步的改成了通过接口进行数据的交换,接口测试也被提上日程。经过一段时间的探索,接口自动化测试方案越来越完善,今天给大家做个详细的讲解。
这步比较简单,直接pip install mitmproxy,或者自行下载安装包。更多更详细的安装说明可以查看这篇文章:MitmProxy的安装
现在大部分的程序猿对网络安全这个领域几乎一点都不了解,不要问为什么,我接触过很多程序猿(有不少是大厂优秀的程序猿,甚至没有一点安全意识,对网络安全这个领域也没什么具体或者抽象的概念),先来科普一下CTF,CTF在百度百科里的官方释义如下:
👋 你好,我是 Lorin 洛林,一位 Java 后端技术开发者!座右铭:Technology has the power to make the world a better place.
如果我们写的是图形界面程序,可能会打包成相应操作系统平台的二进制运行文件(当然也可能直接发 Python 代码给别人运行)。
我们今天来聊一聊什么是什么是Web自动化,以及如何写一个简单的登录的自动化脚本。Web自动化的含义就是用电脑模拟人工自动的在网页上执行各种各样的网页操作。比如说登陆、购物、下载电影或者是爬取信息。那我们就先聊下Web自动化的执行流程。我们使用Python语言编写一个自动化脚本,Selenium模拟人类在Web页面上增删改查,Web页面将selenium操作的信息发送给服务器,服务器返回数据在Web页面上显示,最后我们就看到了浏览器在自己操作。 📷 Web自动化流程 从上图我们可以看出来两大问题:如何什么是W
近两年来,Shlayer木马一直是MacOS平台上最常见的恶意软件,十分之一的MacOS用户受到它的攻击,占该操作系统检测到攻击行为的30%。第一批样本发现于2018年2月,此后收集了近32000个不同的木马恶意样本,并确定了143个C&C服务器。
总所周知bilibili是没有办法直接查看弹幕的发送者的,这使得当我们看到一些nt弹幕的时候虽然生气,却无可奈何,但是B站是可以屏蔽某个用户发送的弹幕的,这说明数据接口里肯定有用户信息,由于最近在学爬虫,所以我想先找找弹幕接口,分析下里面的数据。
easy_auth的意思是简单的身份验证,题目描述admin在todo上记录了重要内容即flag,考察的是网页登录使用JWT鉴权的知识,当Token的signature采用弱校验方式也就是secrect为空时出现漏洞。
在客户端和服务端数据传输交换中经常使用的技术是 JSON 或 XML,而小编最近在项目中接触到了一种新的数据传输框架——Protobuf,接下来我们就正式学习一下吧。
F5研究员发现了一种新型Apache Struts 漏洞利用。这种恶意行动利用NSA EternalBlue 和 EternalSynergy两种漏洞,运行于多个平台,目标为内部网络。 研究人员将其命名为“Zealot”,因为其zip文件中包含有NSA所发布的python脚本。随着研究的深入,此文章会进一步更新,目前我们所知道的有: 新型Apache Struts 目标为Windows和Linux系统 Zealot的攻击复杂,多平台,且及其模糊 Zealot利用的服务器均有以下两种漏洞 CVE-2017
目前软件开发商对 Python 加密时可能会有两种形式,一种是对python转成的exe进行
在测试过程中遇到一个登录框,看到前端加密的情况下对密码处进行了简单的加密分析 在控制台中打开网络,匹配Fetch/XHR,可以看到password处进行了加密处理
paramiko是用python语言写的一个模块,遵循SSH2协议,支持以加密和认证的方式,进行远程服务器的连接。
无标题.png 说明 文档对应内容为 pyinstaller 4.2, 支持 python 3.5+ 如果需要使用python2.7,则需要使用 pyinstaller <= 3.6 安装 从PyPI安装 pip install pyinstaller 升级 pip install --upgrade pyinstaller ---- 使用命令行方式 语法: pyinstaller [选项] 脚本 [脚本...] # 使用命令行方式 常用选项: 生成选项 -D # 生成单个可执行程序 -F #
TBDS中的Shell任务工作流可通过shell脚本调用python,也可以直接调用python脚本,以下为两种方法介绍。
领取专属 10元无门槛券
手把手带您无忧上云