北风飘然

新博客~~~~~

好久没写博客了 第一是在godaddy上的博客不打算续费了 第二是因为最近在刷src 哈哈 简直很赚钱好吧 总结写五月到八月遇到的事 首先最愧疚的就是对不起书城哥~ 这次真的因为家里有事 又回来了 我都没脸见他们了 诶 最近遇到的事也很烦 6月初原来的领导离职,加上公司对整个信息技术部的地位下滑,导致种种原因 离职了 , 唔 现在算起来快两个月了 这两个月好像荒废了 根本没按计划来 ...

Posted by bfpiaoran on August 12, 2017

再挖安卓app漏洞时 抓包遇到的一些坑

从前抓包的时候 设置代理直接抓是没问题的 但是在昨天对某厂的app做测试的时候发现 数据包不经过代理 先说https加密怎么弄 将手机或者模拟器设置成代理 用火狐浏览器导入证书 导出证书 在模拟器或者手机设置==》安全==》从sd卡导入证书 抓一些app有证书锁的方法 需要下载 Xposed JustTrustMe 安装好之后就好了

Posted by bfpiaoran on August 12, 2017

扫描全网http服务~

django +celery 搜索引擎还没做 打算用elasticsearch+redis做搜索

Posted by bfpiaoran on August 12, 2017

第一天白帽大会思考

第一天web方面的干货不是特别多啊 不过还好了 web漏洞挖掘方面 信息收集 除了真实ip可以过waf外 可以收集 网站dns历史解析数据 可以发现一些暴力破解扫描不到的子域名 dnsdb 注入方面多关注下 宽字节注入 !!! 排序注入 和multipart注入 (看一下) 关于ddos 正则ddos 字段越长搜索时间越长占用cpu资源越多 (有个tip形容不出来 回去好好看看) ...

Posted by bfpiaoran on August 12, 2017

S2-046

上次为了一点i春秋的泉币发了s2-045 exp感觉好羞愧 这次扔到这里吧 import requests print('code by 北风飘然') print(''' _____ _ ___ _____ _____ ___ __ _ | _ \ | | / | / _ \ | _ \ / | | ...

Posted by bfpiaoran on August 12, 2017

做个迷你网络空间搜索引擎

准备扫描全网脆弱系统 于是搞了这个东西 顺带整合了cms识别 django 1.9.5+python3.5

Posted by bfpiaoran on August 12, 2017

浅谈社工库

说起社会工程学,不得不说一个人:凯文·米特尼克,这个大hack被美国禁止使用计算机技术之后,带给大家的是社会工程学的开端。其实仔细想想攻防技术也可以算是欺骗、社会工程学了,我们xss要欺骗的是浏览器,我们绕狗,欺骗的是安全狗,我们sql注入欺骗的是服务端。。。。。。等等不一一列举了 其实一开始被怎么看好社会工程学的,但是接触到的越多,越触目惊心,有人社工欺骗域名服务商,可以将互联网巨头某某...

Posted by bfpiaoran on August 12, 2017

s2-045

放出来的exp是用Tkinter 写的 给改了改改成命令行的 233333 有很多误报啊 #encoding:utf-8 import urllib2 from poster.encode import multipart_encode from poster.streaminghttp import register_openers def poc(w_url): cm...

Posted by bfpiaoran on August 12, 2017

web应用指纹识别

搞了个指纹识别 本来打算开源的 看来要等一阵了 看到的人就当发个福利吧 请联系我 207426719@qq.com

Posted by bfpiaoran on August 12, 2017

钟馗之眼&和fofa

弄了个fofa账户于是写了个小工具吧 先上钟馗之眼的 #!/usr/bin/python python3 import requests import json import sys class bcolors: red = '\033[1;31;40m' green = '\033[1;42;40m' pink = '\033[1;46;40m' ...

Posted by bfpiaoran on August 12, 2017

FEATURED TAGS
security
ABOUT ME

安全测试 开发

FRIENDS