关于”windows 2008如何安装Cobalt Strike”的一些想法

第一次在freebuf上发文章,也不知道规矩是啥,就随便写写好了。看了windows 2008如何安装Cobalt Strike ,觉得自己也有很多想法想说说,首先安装使用这块其实没文章里说的那么麻烦的,在win2k8上启动msfrpc,直接几行就行:

@echo off

CALL "D:/metasploit\scripts\setenv.bat"

cd D:\metasploit\apps\pro\msf3\

ruby msfrpcd -U msf -P msf -S -f

在windows上所谓的破解cobaltstrike,也没那么麻烦,一个bat搞定:

@echo off

del C:\Users\Administrator\.cobaltstrike.prop

java -XX:+AggressiveHeap -XX:+UseParallelGC -jar D:\tools\cobaltstrike-trial\cobaltstrike.jar

这样永远都是21天试用。

攻击安全公司实例-我是这样拿下天融信员工的

详细说明:

请贵公司这次不要否认不是你们公司,因为我已经取得了邮箱控制权,先说一下我为什么拿你们做测试,这个想法是我一年前就有了的,起因是你们公司的几个90后小黑客,呵呵,你懂的,想象一下,你们在内部邮箱里窃窃私语的时候,还有一双陌生的眼睛在看着你们,作为安全公司,是否觉得无颜面对同行呢?我本可以继续深入,端掉你们整个老窝,但是没那么做,仅仅出于安全爱好者的良知
那么,先说下过程吧.
1.首先我打开了mail.topsec.com.cn,尝试把整个目录保存到本地下来,后来发现下不全,无奈动用了整站下载器,然后成功的下载到了我想要的整个结构,如图

XSD(XML Schema Definition)用法范例介绍以及C#使用xsd文件验证XML格式

XSD(XML Schema Definition)用法实例介绍以及C#使用xsd文件验证XML格式
XML Schema 语言也称作 XML Schema 定义(XML Schema Definition,XSD),作用是定义 XML 文档的合法构建模块,类似 DTD,但更加强大。
作用有:
①定义可出现在文档中的元素
②定义可出现在文档中的属性
③定义哪个元素是子元素
④定义子元素的次序
⑤定义子元素的数目
⑥定义元素是否为空,或者是否可包含文本
⑦定义元素和属性的数据类型
⑧定义元素和属性的默认值以及固定值
XSD元素可分为简单元素和复杂元素。
一、简单元素

JavaScript面向对象15分钟教程

来源:tsl0922

本指南可以很快让你学会写优美的面向对象JavaScript代码,我保证!学会写简洁的JavaScript代码对一个开发者的发展很重要,随着像Node.js这类技术的出现,你现在可以在服务器端写JavaScript代码了,你甚至可以用JavaScript来查询像MongoDB这样的持久性数据存储。

现在开始写面向对象的JS(OO JS),如果你有什么问题或我遗漏了什么,在下面评论出告诉我。

Literal Notation

Literal Notation只是在JavaScript中创建对象的一种方法,是的,方法不止这一种。当你打算创建一个对象实例的时候Literal Notation是首选的方法。

浅谈路由CSRF危害,和非主流姿势

0x00 环境分析


近期爆出的D-link的后门让大家人心惶惶。。还好我不用D-link,这样就完事了?用户有能力补上漏洞吗,厂商能及时通知用户防止中枪吗?很显然,谁都没有做到。

首先只要一公布xxx路由存在xxx漏洞,这就给自己的公司抹黑,首先用户不会升级(能正常上网谁这么无聊去更新路由器的固件,丁丁很大?),又给公司添加了公关压力,这搁给谁谁都不会去做。

所以我们总结成几个点:

路由器出现漏洞后,用户不会补!厂商不想补!用户懒得补!

0x01 漏洞从哪里来


路由器的漏洞实在是很少。大部分都是远程命令执行和后门,xss等等,但是大牛们手中都是远程命令执行,基本覆盖X科,X为等机房常用的路油器,只需要执行几个poc,啪的一下,权限就到手了,这种场面只有在大牛的APT场面才能看到。

揭秘全球最大网站Facebook背后的那些软件

20106月,Google公布全球Top 1000网站。Facebook独占鳌头。

以Facebook现在的经营规模,诸多传统服务器的技术均将崩溃或根本无法支撑。那么面对5亿的活跃用户,Facebook的工程师们又将如何让网站平稳运转呢?伯乐在线博客的这篇译文将展示Facebook的工程师完成这个艰巨任务所用到的一系列软件。

Facebook级别规模的挑战

SQlMap Tamper注入Base64编码注入点

WVS扫某站就出来一个SQL Injection,参数还是base64编码的,手工注入麻烦一步,用sqlmap怎么自动注射呢?

sqlmap的tamper里有个base64encode.py

使用如下

sqlmap -u https://ha.cker.in/index.php?tel=LTEnIG9yICc4OCc9Jzg5 --tamper base64encode.py –dbs

 

sqlmap拥有很多功能强力的插件,插件的使用方法: -- tamper “插件名称”

在CentOS上安装Git

CentOS的yum源中没有git,只能自己编译安装,现在记录下编译安装的内容,留给自己备忘。

确保已安装了依赖的包

yum install curl
yum install curl-devel
yum install zlib-devel
yum install openssl-devel
yum install perl
yum install cpio
yum install expat-devel
yum install gettext-devel
下载最新的git包