嘛,整出来了Manager
咕咕咕了这么久(其实这期间是去整其他事情了)
怎么说呢,勉强能用的那种吧
与其说是远控,不如说更像一个权限维持工具吧。
目前是全网免杀的_(:з)∠)_。。还有许多功能没添加
基于:反弹式shell后门 实现
基本就是用这货整了个控制端,再用jq+ws整了个前端。
控制端用的是Golang写的,这样可以在多平台上跑。
还未完善,地址在这:tkit
暑假过去一半了啊啊啊啊啊啊啊,感觉自己啥也没干。
非常的烦.jpg
挖了好多坑都没填 ,其中就是那个pantsuWorld了,和一群人设定半天,连框架都没搭出来
完成度0.3%左右吧hhhhh
就是这些了
2019-08-11 | 资源分享 |
有感而发,为什么这么发自然不言而喻了。
我大概知道为啥十年前网络是网络技术泛滥以及爆炸的年代了。当时的网络上,简直就是百家争鸣,那时候的你,能完整的自己写下一个程序,确实是非常非常厉害的了。
并不像如今各种开源代码泛滥,各种工具包,各种什么东西下载下来部署一下,就能迅速构建出一个web程序。在那时,除了提供的API之外,其他的各种代码,自己手打之外,就靠着各种的搜集了,以及各大web站出现所谓的XXXX源码。
再加上安全意识并不强,在win2k3,使用administrator配合APM/IIS的大有人在,同时1433/3306弱口令,RDP弱口令,奇奇怪怪的上传点。基本随处可见。八年前的一个下午我用了一个所谓的“社会工程学字典”配合一个“1433传马机”一个下午上了白来台的影像历历在目。其中不凡还有XP个人电脑等。
为什么sql危害这么大呢?sql注入攻击相比起另外一个“弱口令”攻击比起来,更具有直观性,这个点,能日就是能日,不能日就是不能日,不想弱口令攻击完全看脸,也许这个字典不行,也许换个字典就好了,也许这里是强密码,按照目前的算力跑到地球毁灭都跑不出来。
反之sql攻击就不一样了,这相当于直接给黑客一个平台,好比与你把你家的大门打造的固若金汤,但是却想不到你家的窗户正门户大开。而且数据库操作又是动态网站的基础操作,不是动态的网站甚至都不好意思称呼自己是个网站了hhhh
所以SQL对于web来说,存在普遍性和规范性,加上安全意识不强,或者说代码混乱等等各种奇怪的原因,导致漏洞泛滥。
最为直观的就是早期黑阔们对啊D,明小子这种工具的热衷,基本十个教程里面,七个都是这两个东西。还有就是一群“爱国黑客”拿着这些东西配合搜索引擎对着外国网站一通乱扫等等。
虽然到了最近几年,web技术成熟化了,模块化了。大家都用造好的轮子,基本也不会出现那种低级的API和注入点。这种现象也才慢慢的削弱下去了(取而代之的是各种exp的盛行,这也进一步说明了国内网络安全集体水平的提升。
所以,我只想说,对于老站点,一定要更新更新更新,或者实在不行就关掉。不要使用过时系统!!!例如windows XP/windows 2k3。这种系统基本没有安全支持,而且就算有支持,这类操作系统一旦被拿下,能够直接读取系统下的账户密码,进行社会工程学攻击!!
再者,正确配置权限!!!不要给mssql/web服务过高的权限,正确配置的权限,能把损失降到最低。除非你不按照上一条,更新系统,否则除非0DAY攻击。黑客基本不能提权。甚至权限和后台配置得当,黑客甚至不能上传木马。连webshell都拿不到。
最后一条,如果可以的话,尽量使用相对路径,配合上面一条,合理的上传点管控,合理的权限设置,合理的数据库设置,黑客就算拥有了注入点,除了获取管理密码也毫无办法,当然这点已经是很不好的了,但是至少。能避免你整个操作系统被攻破来的比较好
2019-06-21 | 资源分享 |
看了下blog列表里一堆的坑没填,再加上期末考。但是我还是要义无反顾的开坑啦!!
项目地址:https://github.com/pantsugroups/pantsuWorld
胖次群的一款自动化的脚本对战类RTS游戏
说白了就是一群程序员在养蛊。
头脑风暴&思考过程:草稿本
程序为一个沙箱,在立体的坐标系中释放几个初始"对象"。
最初始对象相当于脚本在游戏中的实例化。
对象可以建造"对象",武器,和建筑物。
对象也可以开采资源,战斗,自毁等等。
对象建造"对象"必定是需要资源和父母双方,各种拥有不同的DNA和权重
然后按照神经网络对几个方向(具体还没确定)进行变异生成。
变异的越久,需要的资源越多。
如果发生事件,事件只会上报给消息发生所在地的单位。
然后由该单位像周围单位传递消息
直到传递到大本营为之
沙箱完成时,将放出SDK。届时可以实用自己调用。
游戏脚本会上传到服务器运行。
API调用请参考:api.md (还未开始)
内部实现详情请参考:archive.md
本群官网:www.minipanz.com
2018-12-18 | 资源分享 |
还别说,vim确实看起来挺蠢的,但是用起来真的很香。特备是针对没有小键盘和鼠标的机器。
特别适合那种外带只有一个笔记本,不带鼠标的人。所以特此再次列出一些常用功能
:q 退出
:q! 强制(不保存)退出
:wq 保存退出
:set nu 显示行号
:set nonu 隐藏行号
hjkl 左上下右
Linux机器下,获取到哪怕一次shell权限,都是十分致命的。
因为获取之后,在黑黑的命令框下,你基本不怎么容易发现木马/后门的存在。
没有云,没有主动防御。也没有什么所谓的“360”(虽然他有但是对比他在windows下的功能简直就是笑话)
在Linux下,比起二进制文件会需要不同平台而导致软件的无法执行,脚本文件反而可以突破这层障碍,海量的库导致程序编写的更加容易以及等等。
然而缺点也很明显,那就是通俗易懂的代码不只对你,对系统管理员来说也是如此,而且必须需要宿主程序持续的运行以及后台上面的那个丑丑的黑框框。
所以我们得目的也就很简单,隐藏进程and隐藏文件。
这样就能让我们得脚本,为所欲为了。
然后,下面是我收集得一些资料。
少女研究中。。。
emmm之前和泡研究某些反射攻击时候遗留下来的产物。现在并没有啥用了,就丢出来啦。
资源NTP.txt:
如果要扫描脚本和攻击脚本的话可以找我要_(:з)∠)_