由一句话木马引发的“幼稚”思考

没有接触web信息安全之前,一直真的认为web安全其实只是伪命题。在看了OWASP相关资料后,可以说是涨了一个世界的姿势了,打开了新世界的大门…
在讲师介绍的webshell课程中完了一句话木马后,被他的小巧精悍玩法灵活所震撼。
和9bie酱曾经尝试过组建僵尸网络来搞实验,(虽然玩的满腹疮痍),
我这边基于workman的socket(证明php是世界上最好的编程语言)建设C&C服务器,
再基于9bie写的易语言调用Win32API的骚操作写的控制端。

继续阅读由一句话木马引发的“幼稚”思考

20171004 金秋动漫嘉年华 工作总结

emmmmmmm 每次写这个自己都是极度的无语,好在无语嘛~就是对自己有看法了,每次这样希望试一次进步
这次展子和主办方玩的很算是开心吧(准确的说是没有压力的那种顺心)虽然主办方在开展子真的是第一次,
经验方面的问题挺多倒是挺多。 不过暖心、开心就好了。
继续阅读20171004 金秋动漫嘉年华 工作总结

为什么计算机不善于处理小数

在学程序设计的时候,一定有很多的小伙伴 接触过 比如 C 语言 中 100 个 0.1 自增不等于 10的情况。
是啊是啊,超级迷啊。这次我们从二进制小数运算的原理 来解释一下。

我们知道 二进制数 1101 怎么转化成 10进制的数值
1 1×2^3 = 8
1 1×2^2 = 4
0 0x2^1 = 0
1 1×2^0 = 1
8 + 4 + 0 + 1 = 13
继续阅读为什么计算机不善于处理小数

【预防】永恒之蓝攻击预防方案

事件:永恒之蓝攻击、全国高校部分校园网受大规模病毒攻击:传播迅猛、勒索比特币 (具体自行百度)
国内部分高校学生反映电脑被病毒攻击,文档被加密。攻击者称需支付比特币解锁。
起因:代号 MS-17-010 在作祟…其实是上个月之前曝的漏洞,不知道哪路小坏坏把他写成了自动化攻击工具搞事…
今天是2017年5月12日(其实写文章日期是13日凌晨)
大规模校园网攻击预防方案

解决方案

用Windows的小伙伴如果不想论文丢失被锁机赶快做!
继续阅读【预防】永恒之蓝攻击预防方案

WordPress漏洞:REST API由于权限控制失效致内容注入

哟哟哟…昨天看到WP又暴漏洞了…据说是未经授权的小坏坏可以利用这个漏洞可注入恶意内容,以及进行提权,对文章、页面等内容进行修改。REST API是最近添加到WordPress 4.7.0并默认启用的。
于是乎,吓得我赶快去更新了自己的WP…吓屎了!

漏洞具体情况下文描述,漏洞详情实在懒得写从Freebuf上面抄下来的。

继续阅读WordPress漏洞:REST API由于权限控制失效致内容注入

湖北mou~职业学院网盘PHPDISK6.5XSS漏洞

写内容之前不得不吐槽Horse学长的哈**大学2016级计算机相关系圈子真的好麻烦!刚刚戳到一个学长不断的抱大腿,然后就甩锅,甩来甩去MDZZ,Horse学长就小窗敲我了,让我不要烦他,他在期末考试 = = (托腮)

然后呢这个圈子里面的一个叫JackMyth的学长用PHP开发了一个东西上传到了 u.hbswkj.com 网盘上面…因为这个网盘跑的 PHPDISK 6.5版本比较老,针对这个版本进行了XSS测试了呢~
湖北生物科技网盘漏洞
继续阅读湖北mou~职业学院网盘PHPDISK6.5XSS漏洞

Token防范PHP的CSRF漏洞

CSRF(Cross-site request forgry)跨站请求伪造。听起来好高大上呢>_<说白了就是…可以劫持萌萌哒用户(包括管理员大大)去做一些被小坏坏搞的莫名其妙的请求,危险性根据请求的具体操作决定。打个比方,只有持有Admin权限的session或cookie的用户才可以执行 http://acgbag.com/user/del/id/7881 删除用户的操作,其他用户无权限执行无效,在没有任何验证或者防护措施的情况下这个Admin 浏览了其他网站的“图片”<img src=”http://acgbag.com/user/del/id/7881″> 浏览器利用当前acgbag.com的登录(admin权限)状态执行了删除acgbag.com域名网站用户的GET请求,从而完成攻击。本例仅仅是一个普通场景,其他还有可能删除管理员账号修改网站等,触发更深入的攻击,更多的CSRF攻击以越权限操作为主。

继续阅读Token防范PHP的CSRF漏洞

iptables的简单配置

昨天和西道前辈聊了好久,关于安全配置的知识确实很匮乏诶…于是乎,白天忙里偷闲去网上搜了搜有关于安全配置的资料,这个是有关于iptables(Linux下非常厉害的防火墙(软件))…这些搜集到的东西都是些炒鸡简单基础的,不过有必要写一篇博客整理一下~

iptables的简单配置

继续阅读iptables的简单配置