推荐学习书目 Learn Python the Hard Way Python Sites PyPI - Python Package Index http://diveintopython.org/toc/index.html Pocoo 值得关注的项目 PyPy Celery Jinja2 Read the Docs gevent pyenv virtualenv Stackless Python Beautiful Soup 结巴中文分词 Green Unicorn Sentry Shovel Pyflakes pytest Python 编程 pep8 Checker Styles PEP 8 Google Python Style Guide Code Style from The Hitchhiker's Guide
这是一个创建于 4464 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前项目已经完成了前台注入,后台ip验证,后台上传的弱点模块。当然对于网络安全来说,仅仅这三个点也只是凤毛麟角。整个项目代码是采用webpy+sqlite+mako编写,还有很多弱点模块需要编写,也有很多代码需要完善。目前项目已经发布在sae上测试这三个功能 http://valo.sinaapp.com 但是sae条件限制,所以sae上的代码已经修改为webpy+mysql+jinja2。我做这个的目的是为了普及互联网安全的重要性,并且提供给初学者一个模拟学习的web平台,但它现在还很小很小,所以希望有人能够加入,和我一起完成它。再补一句,目前的代码已经被南邮采用作为他们下一届安全大赛的试题了!
求加入!
求加入!
第 1 条附言 2013-07-30 17:06:32 +08:00
啊,有没有志同道合的朋友愿意一起来啊?看来有几点我得先说明一下。。。
1,此项目beta版发布之后将对外开源,目前是alpha版
2,本项目版权归所有参与开发的朋友,无轮你付出多少,都会留下你的名字
3,是不是需要建个Q群之类的?
求!加!入!
1,此项目beta版发布之后将对外开源,目前是alpha版
2,本项目版权归所有参与开发的朋友,无轮你付出多少,都会留下你的名字
3,是不是需要建个Q群之类的?
求!加!入!
第 2 条附言 2013-07-31 11:08:44 +08:00
项目群号:235991102
希望能有3-5人加入,源码一共有两个版本,第一个版本是webpy+mako+sqlite,第二个版本是webpy+jinja2+mysql+sae。
所有成员可以获得 webpy.net 或者 append.cn 的邮箱一枚,但是邮箱名不能是root,admin这样的关键词哈。
希望能有3-5人加入,源码一共有两个版本,第一个版本是webpy+mako+sqlite,第二个版本是webpy+jinja2+mysql+sae。
所有成员可以获得 webpy.net 或者 append.cn 的邮箱一枚,但是邮箱名不能是root,admin这样的关键词哈。
 | 1 ttskym 2013-07-27 19:46:52 +08:00 帮顶,大南邮威武。 |
 | 2 janxin 2013-07-27 20:21:50 +08:00  1 Web攻击模型可以试试OWASP出的webgoat,包含绝大部分的web常见攻击方式,不过是入门阶段的 楼主的项目也不错 :) |
 | 3 fucker OP @janxin 你说的没错,出名的还有DVWA,但现在大多数代码都是基于php的。这样的话,如果测试项目是自己用,还没什么人,如果是给一部分人用,那么即便仅仅是测试,测试程序的代码本身的安全性还是略为堪忧,如果再作为比赛试题的话,也有泄露源码的风险。如果是用python或者是perl、ruby、nodejs这样的来做,就可以从根源上避免作为比赛用题的尴尬境地。。。 大神有性趣参与不?目前是我一个人在做,还有很多很多东西需要添加上去。 |
 | 6 panlilu 2013-07-27 22:48:56 +08:00 @fucker 好久没有玩这种了。。 做到了这一步。。 恭喜你获得了本关第二个KEY: (已隐去) 接下来的挑战是得到一个webshell~ tip:Valo大牛的服务器似乎是CentOS5.5 + Apache2.0.52 + php5.2 话说。。sae的python环境不能这么玩吧。。 |
| 9 panlilu 2013-07-27 23:12:02 +08:00 1 @fucker 后面上传文件失败是不是目前属于这个游戏还没完善? 我建议可以用一下社会工程学,登陆到某ssh或者拿到邮箱再通过邮箱找回哪儿的密码?(这是目前危险性最大的东西了吧我觉得。。) 凑后台地址凑了好久。。 |
| 12 fucker OP @panlilu 上传不是不完善,是做了文件后缀的验证和文件头验证,但是后台给了提示说是php的,那么就要加上php标签才可以,构造一个文件文件名可以是xxx.php.rar,文件内容是Rar!<?就可以了 |
| 14 fucker OP @panlilu 有没有性趣一起啊,大神。社工方面我也有考虑,现在很传统的比赛方式是给一个邮箱或者给一个xss,然后直接发xss平台构造好的链接,下一步就是进后台。我现在是在思考一种新的方式。还有,我原来设计的后台部分并不是通过一个注入拿两个key,但是南邮方面说是注入拿一个key,HTTP_X_FORWARDED_FOR一个key,上传一个key。我原来设计的是HTTP_X_FORWARDED_FOR注入。。。。 |
| 15 panlilu 2013-07-28 00:12:49 +08:00 1 我想到一个idea是你可以用webapp包装一下,去sql注入restful的api。(虽然写个webapp停费工夫的,不过这样看上去就高端洋气了很多 HTTP_X_FORWARDED_FOR注入 这个idea不错。。(有点偏了吧 另外最近真的很忙,抽不出时间弄这个见谅。 ps 不太喜欢把兴趣说成 “性趣”。但愿你不是故意的=。= |
| 20 fucker OP @kojp valo的确是一位神一样的大牛,是我的好朋友。如果你见过他,那么应该是在wooyun,习科或者其他著名论坛里面。 |
 | 22 binux 2013-07-28 01:42:00 +08:00 @fucker 我还干过只有特定UA才会出现的后台,目录级ngnix转发不同后端什么的。。这事情就没完了 不过主要是性格不喜欢吧。。这种猜测性的东西,猜中了就中了,没猜中进度永远是0% |
| 38 fucker OP @panlilu =。=抱歉我眼瞎才看到你的回复。。。对于你说的RESTful,我对它的理解和撸码能力还有限,所以即便是你这样的建议仅凭我,目前还做不到。我更没理解你说的用webapp包装一下的意思,好吧这个不怪我语文老师。。 我很感谢你提了这些,不过既然没有时间那我也不勉强了,好可惜啊。 |
 | 39 xavierskip 2013-07-28 09:58:42 +08:00 哈哈,注入被发现了! 该怎么利用呢? |
 | 40 ccbikai PRO 南邮…… |
| 42 fucker OP @xavierskip 和普通的注入一样,但是需要绕过注入检测,这也是一个难点啊 |
| 43 fucker OP @mozutaba 这没什么,有想法有思路会python,其他不会的可以再学。如果你会一些其他的技术,那就更好了,可以再扩展。就看你有没有兴趣参与了 |
 | 44 shenyuanv 2013-07-29 17:09:03 +08:00 已经通过sql注入找到账号密码,这个账号密码就是第一个Key?找到后台地址也是游戏的一部分吗? |
| 45 fucker OP @shenyuanv 那倒不是,第一个key也在数据库里,拿到后台地址,也只是获得第二个key和第三个key的开始。。。 |
 | 46 fork3rt 2013-07-30 17:20:16 +08:00 哈哈,注入被发现了! .... |
| 49 fucker OP @shenyuanv 啊哈,是啊,现在做的是针对sqlite的注入,要查询sqlite_master表的sql列哈~sae不支持sqlite,只能把mysql装的像一点sqlite了。。。以后想做多种数据库的注入,似乎不怎么容易实现。。。 |
| 51 fucker OP @shenyuanv =。=我没有完整测试过sae上的mysql注入,information_schema库应该可以用的吧?! |
| 52 panlilu 2013-07-30 19:28:14 +08:00 = =.后台地址我真的是靠猜的,虽然猜的时间比较久毕竟还是猜出来了orz |
| 54 fucker OP @panlilu 也可以啊,本来是想放进robots.txt里的,毕竟现在还是alpha无限内测,就暂时搁数据库里吧,可以通过注入查询到的。 |
| 56 shenyuanv 2013-07-30 20:05:53 +08:00 @fucker 现在就是针对sqlite注入发现了key-is-here的表,但是没有猜出字段名,话说key和后台地址应该都在这个表里吧?卡在这儿了,有点头疼,有小提示吗? Ps:mysql的user()函数虽然过滤了,但是仍然可以绕过:44zlww****@10.67.**.**。这个属于游戏范围吗? |
| 57 fucker OP @shenyuanv sqlite_master表里面的字段是sql,但是别忘了加 ``。绕过了user()函数必然不在游戏范围之内啊,我没有详细测,只是大概过滤了一下。。 |
 | 58 ykennyy 2013-07-31 10:00:34 +08:00 有意加入 |
 | 60 lvye 2013-07-31 11:16:14 +08:00 你说的南邮的,不会指的是我吧?? |
 | 62 horryq 2013-07-31 11:18:15 +08:00 python 新手不知道要不要… |
| 65 fucker OP @lvye 这里是程序员射区,没人射你资料的放心哈 =。= 话说比赛什么时候办呢?完了有没有录像啥的?我想看看那些同学们做我这题时蛋疼的表情。。。 |
 | 66 ashin 2013-07-31 11:27:02 +08:00 哈哈 不错 建议楼主把凤毛麟角换成九牛一毛 |
 | 70 cppoba 2013-08-16 00:36:40 +08:00 我有兴趣。能否加一下我。 目前进入到登录界面,但是IP限制,进不去~~ |
 | 71 itaotao 2013-08-16 11:05:04 +08:00 不明觉厉啊 |
Select Language