1、《鸟哥的私房菜(服务器架设篇)》30%

2、《黑客与画家》完!

3、《史蒂夫·乔布斯传完!

4、《黑客大曝光:Web应用程序安全(原书第三版)》30%

More...

测试日志

win7+leanote+mongodb+nginx+php

1、安装数据库Mongodb

下载地址https://fastdl.mongodb.org/win32/mongodb-win32-x86_64-2008plus-ssl-3.0.5-signed.msi

 

Mongodb安装服务
D:\MongoDB>mongod --install --logpath=d:\MongoDB\logs --auth --bind_ip 127.0.0.1 --port 59983 --dbpath=d:\MongoDB\data
安装好服务之后,先不启动,用命令行无验证启动下,

D:\MongoDB>mongod --logpath=d:\MongoDB\logs --bind_ip 127.0.0.1 --port 59983 --dbpath=d:\MongoDB\data

连接数据库添加权限
D:\MongoDB>mongo --host 127.0.0.1 --port 59983
2015-08-19T00:37:38.351+0800 I CONTROL  Hotfix KB2731284 or later update is not
installed, will zero-out data files
MongoDB shell version: 3.0.5
connecting to: 127.0.0.1:59983/test
Welcome to the MongoDB shell.
For interactive help, type "help".
For more comprehensive documentation, see
http://docs.mongodb.org/
Questions? Try the support group
http://groups.google.com/group/mongodb-user
>

 

2、安装leanote

官网 http://leanote.org/

下载leanote http://pan.baidu.com/s/1nt7mONB

解压

导入leanote数据
mongorestore -h 127.0.0.1 --port 59983 -d leanote --dir d:\leanote\mongodb_backup\leanote_install_data

    导入成功的数据已经包含2个用户

    user1 username: admin, password: abc123 (管理员, 只有该用户可以管理后台) 
    user2 username: [email protected], password: [email protected] (仅供体验使用)

添加mongo数据库用户,使用mongoVUE或者命令行
leanote
OhyesGo4Mo

db.createUser({
    user: 'leanote',
    pwd: 'Oh',
    roles: [{role: 'dbOwner', db: 'leanote'}]
});

最后
d:\leanote\bin>run.bat
listen 9000

即运行成功

 

 

3、nginx反代及401 Basic认证配置

 

修改nginx配置

    server {
        listen       80;
        server_name  tra.cker.in ;

        location / {

             proxy_redirect off ;
             #proxy_set_header Host $host;
             proxy_set_header X-Real-IP $remote_addr;
             proxy_set_header REMOTE-HOST $remote_addr;
             proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
             client_max_body_size 50m;
             client_body_buffer_size 256k;
             proxy_connect_timeout 30;
             proxy_send_timeout 30;
             proxy_read_timeout 60;
             proxy_buffer_size 256k;
             proxy_buffers 4 256k;
             proxy_busy_buffers_size 256k;
             proxy_temp_file_write_size 256k;
             proxy_next_upstream error timeout invalid_header http_500 http_503 http_404;
             proxy_max_temp_file_size 128m;
            proxy_pass    http://127.0.0.1:9000;
            proxy_set_header Host "tra.cker.in";

            auth_basic            "Auth Restricted";
            auth_basic_user_file  webpass;        }
        }

 

 

webpass文件放在nginx\conf\目录下,存储的是htpasswd加密的用户密文。

Windows/Linux下的Sublime总是默认的以标签页的形式打开关联的文件,但是在Mac下使用Sublime打开文件,总是使用新窗口。
不用多久,就有了一堆Sublime的窗口,找东西很麻烦。
解决办法如下:
sublime text 2.x:

具体设置:Preferences -> Settings – Default -> 搜索open_files_in_new_window,将其true 改为 false 后
重启一下sublime text 2
sublime text 3.x:

具体设置:Preferences -> Settings – User -> 添加 "open_files_in_new_window": false,
重启一下sublime text 3

转载有毒By Secer@http://ha.cker.in

Cobaltstrike有发送传播Email的功能,借助此客户端我们可以方便的发送钓鱼邮件到目标群。

我们需要Cobaltstrike环境,一个smtp邮箱帐号,邮件模版。

首先,登录上Cobaltstrike客户端,菜单栏Attack下Spear Phish工具打开

clip_image001

界面如下:

clip_image002

Targets处导入目标群邮箱地址列表,如:

Mr.SB

Mr.Dsb

Template处导入邮件内容模版,模版来自要仿照的邮件源内容,我演示以下。接下来我的目标是土耳其的一些黑裤们,我打算去土耳其网站内容里找点有意思的内容通过网站提供的分享功能发送到我的邮箱,以此源内容当模版。我默默打开了msn.com.tr,选择语言为Turky……

clip_image004

把源内容拷贝到TEMPLATE.txt 文件,记得修改From: 字段和下面Bounce To的字段保持一致,然后保存,Spear Phish加载。

此外,Embed URL处填上我们已经控制站点的一个landing page(里面插入了最近的flash 0day网马),邮件内受害者可能点击的链接都将改为此URL。

Mail Server选项需要填上发送者的smtp服务器、帐号密码,我是随便日了zimbra加了个用户。

Bounce To则填上伪造的发送者地址,以增加信任度。最终如图

clip_image005

Preview可预览下源码效果,Send发送之。。。

Cobaltstrike界面看到SUCCESS

clip_image006

嗯,成功了我们看下效果,当然这只是一个测试邮箱,其实收件人是我的小号,一个有经验的垂钓者都是这么做的。

clip_image008

看看源码,检查一遍,没有问题,重复以上过程给真正的目标发过去吧,接下来就等鱼儿上钩。钓鱼也就这么点意思了。

source:http://www.cyphort.com/multiple-malwares-used-to-target-an-asian-financial-institution/

0x00 前言


近来, Cyphort Labs已收到多种针对于亚洲某金融机构的恶意软件,由于某进行中的研究,我们将匿名该公司.

来源已经表明,攻击的起始入口为其中一名雇员打开了某收到的鱼叉式钓鱼邮件,攻击涉及到了多种后门和用于窃取信息的木马。一些恶意软件具有反沙盒属性且含有对抗heuristic signatures(一般被反病毒公司使用)的保护.多种恶意软件样本也展示了某种一般性的主题,例如:将自身安装到%ProgramFiles%%UserProfile%文件夹(取决于用户是否有admin特权)中.此外,多数的恶意软件样本是用Borland Delphi编译的,它们带有已加密的字符串和API字符串(被混淆或被分为多个字符串)作为保护以对抗heuristic signatures技术.除了某个样本外,其它样本都没被加壳。

以文件的创建日期为根据,它的出现早于2015年2月,并已持续了三个多月

clip_image001[5]

在该攻击中使用的样本概要

技术分析

clip_image002[4]

clip_image003[4]

0x01 技术分析


GoogleUpdate.exe

今天,流行的恶意软件中,文件的文件结构通常并不像我们看到的那样.为什么?因为在今天,多数AV产品部署了基于启发式的检测技术(检测加壳样本和某些具有非常规文件结构的样本).该恶意软件没被加壳且区段类似于某正常文件.

被加密的字符串只在被使用前解密.恶意软件通常将其API字符串分为多个字符串.这也为了躲避heuristic signatures(检测字符串和可疑APIs).

clip_image004[4]

如果用户有admin特权,则它将其自身副本移动到%Pr0gramFiles%文件夹中.如果不是则不移动 如果具有admin特权:

%ProgramFilesDir%\Windows NT\Accessories\nt\GoogleUpdate.exe

如果不具有admin特权:

%UserProfile%\Applications\GoogleUpdate.exe

它作为某种服务(带有”SENSS”服务名)安装自身.

clip_image005[4]

在检查(它是否成功作为某种服务在运行)之后,检查父进程是否为explorer.exe或iexplore.exe.该dll被加密(通过XOR 0x89作为密钥)

反沙盒

检测Sleep加速功能

为了挫败沙盒,该恶意软件凭借sleeps或loops拖延恶意软件的执行,因为他知道某沙盒系统将会在限制的短时间内执行恶意软件.

通过对比,一旦位于你的系统内,恶意软件将有大量时间来实现它的恶意意图。为了挫败该保护,沙盒系统部署了加速功能, 即如果他们检测到某样本使用某种延迟技术,它将加速该样本的执行.例如,如果它检测到该样本sleeps一分钟那么该系统将其改为sleeps 1秒。不幸的是, 对该恶意软件来说,这种技术已经不起作用了.该恶意软件可通过发布某个sleep以检测到sleep的加速,之后在得到消逝时间的同时检查消逝的时间是否比sleep的时间短

clip_image006[4]

More...