技术文章

户外黑阔之War Driving 应用原理分析及其工具使用

很久没写东西了,最近太忙了~~~

今天给介绍一个新名词 “War Driving” ,看过幽灵的朋友们有没有留意到最后抓捕大哥组织里面那群人时候他们开着货车移动式攻击有没有印象?如果不感兴趣,那么下面的文章可以不用看了。感兴趣的继续~~

War Driving:是驾驶攻击也称为接入点映射,这是一种在驾车围绕企业或住所邻里时扫描无线网络名称的活动。

要想进行驾驶攻击你就要具备一辆车、一台电脑(膝上型电脑)、一个工作在混杂模式下的无线以太网网卡,还有一个装在车顶部或车内的天线。

因为一个无线局域网可能仅局限于一栋办公楼的范围内,外部使用者就有可能会入侵网络,获得免费的企业内部网络连接,还可能获得公司的一些记录

和其他一些资源。 用全方位天线和全球定位系统(GPS),驾驶攻击者就能够系统地将802.11b/g/n无线接入点映射地址映射。

好吧,上面的废话都是来自读娘。驾乘式攻击,其实在现实当中用来收集信息才是比较使用的。那么收集到的信息有哪些?

python+pygtk+api写的一个简单的词典

最见看看gtk的资料顺便练练手,就顺手写个词典玩玩,十来分钟的事情~~

python越用越觉得顺手,简洁。不到50行代码就完成了,代码没有精简,要不然更短小~

查询是调用爱词霸的接口:http://dict-co.iciba.com/api/dictionary.php?w= 接口地址后面跟

查询的词汇

返回的是xml数值。里面附带所有信息,包括发音 的声音文件地址,如果想带发音的功能

可以直接使用它的文件,返回数值接口信息截图:

QQ20131106-1

Nginx解析漏洞原理及其利用方法

Nginx解析漏洞已经是比较老的漏洞了,但是互联网上还有不少使用存在解析漏洞的nginx版本。

很久没写文章了,睡觉去去法客转了圈看到一片nginx漏洞的渗透文章,才发现自己似乎也没写过。

nginx解析漏洞是由于nginx部分版本程序本身的漏洞导致解析非可以执行脚本程序如PHP.

如下面两个假设在存在漏洞的站点上有一张图片url地址为:

1
www.creturn.com/logo.jpg   //假设存在这个图片

而当我们正常访问,nginx会把这个当作非脚本语言直接读取传送会客户端(也就是浏览器),但是

存在解析漏洞的nginx会把如下连接解析并且执行~:

1
2
www.creturn.com/logo.jpg/a.php (老的解析方式)这样写的话nginx会把logo.jpg当作脚本解析执行后再输出
www.creturn.com/logo.jpg%00.php //这个是7月中旬爆出的解析漏洞

这样的解析漏洞有什么危害?其实很多站的安全或者程序样做的比较严谨的话,就没办法直接拿下,但是很多社交类

或者交互类的站点上往往允许用户上传图片,如社交网站一般都会允许上传头像~这样如果有心人传送一个图马上去就可以直接解析了。

Ubuntu下的PHP开发环境架设

今天重新装了ubuntu那么就吧过程记录下。

打开终端,也就是命令提示符。

我们先来最小化组建安装,按照自己的需求一步一步装其他扩展。命令提示符输入如下命令:

1
sudo apt-get install apache2 php5-mysql libapache2-mod-php5 mysql-server

上面的命令是最小化组建安装amp也就是apache2 ,php5 和 mysql 在加上一个php的mysql扩展