2018年度总结
人们都有一种错觉..就是每长一岁,就觉得自己变得更加成熟了,我今年的这种感觉尤为强烈,可能是因为我要结婚了吧……每年都写年度总结,无疑最主要的还是想看看自己的成长,总不能一年又过去了,自己却什么都没长进。工作和技术我是安全出身的,挖洞和渗透能力比较强,但我却一直有一颗做安全开发的心。今年的工作重心从渗透转向了安全开发这边,主要开发了VIPKID这边的安全统一管理平台、Github Monitor。Github Monitor现在已经开源了,有兴趣的小伙伴可以看看:https://gi......

Github Monitor - Github信息泄漏监控系统开源啦!
GITHUB MONITOR 是vipkid安全研发团队打造的用于监控Github代码仓库的系统。通过该系统可以及时发现企业内部代码泄露、从而降低由于代码泄露导致的一系列安全风险。用户仅需通过简单的任务配置,即可在分钟级发现代码泄露的情况。项目后端使用 django-rest-framework 开发,前端使用 react 和 antd-pro 开发。系统特点分钟级监控简单且灵活的任务配置邮件提醒github token管理支持docker一键部署运行十分稳定安装指南首先将代码clo......

博客的主题Typecho-Tuuu开源啦!
预览地址:www.hackersb.cn Github地址:https://github.com/Strikersb/Typecho-Tuuu友情链接友情链接插件使用的是Links创建友情链接页面选自定义模板 -> 友情链接模板配置页面一目了然,就不多说了。Readme几年前写的老代码,代码很乱,但是有朋友一直想要,就开源啦!Author: Tuuu NyaBlog: www.hackersb.cn

Ubuntu16.04.4本地提权漏洞
漏洞简介Twitter上Nikolenko发推表示ubuntu最新版本存在一个本地提权漏洞,并且提供了EXP下载地址,该漏洞在老版本中已经完成修复,但是在ubuntu16.04版本依旧可以被利用。影响范围目前已知范围ubuntu 16.04.4漏洞复现使用本人在日本云平台服务商conoha.jp上的主机测试,亲测可用。POC下载链接:upstream44.c.zip修复方案目前暂未有明确的补丁升级方案。 建议用户在评估风险后,通过修改内核参数限制普通用户使用bpf(2)系统调用:ec......

2017 summary
今天是2018年1月9日,昨天考科目二,发着38度的高烧竟然考过了,学车真的是太累了,起早贪黑的,早晨五点起床,一直练到下午7点,然后回到家就9点多了,再吃点东西啥的就得睡觉了,真的累。再加上驾校风大,最近北京降温,就感冒发烧了。昨天早晨10点30分坐班车去驾校,快12点到驾校,等到12点50才能进考场,一直等报我名字,等到3点左右才考完,全程头晕…… 好在考试的那十分钟脑子还是比较清醒的,只是刚上车的时候,安全员让我把车往前开点,我就开始打火,结果两次都没打成功,只听到安全员跟我说......

Typecho 反序列化漏洞导致前台getshell
最早知道这个漏洞是在一个微信群里,说是install.php文件里面有个后门,看到别人给的截图一看就知道是个PHP反序列化漏洞,赶紧上服务器看了看自己的博客,发现自己也中招了,相关代码如下:然后果断在文件第一行加上了die:<?php die('404 Not Found!'); ?>今天下午刚好空闲下来,就赶紧拿出来代码看看。漏洞分析先从install.php开始跟,229~235行:<?php $config = unserialize(base64_decod......

VIPKID安全团队诚聘安全人才(补充医疗、住房补贴)
公司安全团队招人,欢迎各位小伙伴来跟我一起共事 :)公司介绍VIPKID 是由创新工场、经纬中国、红杉资本、北极光、真格基金、云锋基金以及由科比创立的Bryant Stibel基金等投资机构联合投资的互联网教育公司,专注为4-12 岁左右的小朋友提供有效、生动的在线英语学习体验。我们拥有优质的北美小学教师资源,孩子通过1对1在线视频互动平台,在家就可以同北美老师连线。VIPKID的教材均为基于美国共同核心州立标准(CCSS)而独立研发的适合中国孩子的教材。VIPKID的外教均来自于美......

T00LS帖子正文XSS
T00LS在前段时间开启了markdown支持,这个漏洞也正是markdown的问题导致。Markdown是一种可以使用普通文本编辑器编写的标记语言,通过简单的标记语法,它可以使普通文本内容具有一定的格式。Markdown本身是一种标记语言,在网页上的应用也很简单,比如当我在markdown中输入**加粗**,那么经过转换之后,这个短句将会变成<strong>加粗</strong>。其实也是一系列的html转换,由此就会出现很多XSS的问题。下面我结合T00L......

Wscanner - 又一个调sqlmap测注入的轮子
A another sqli scanner,maybe is a full scanner.下载地址 https://github.com/Strikersb/WscannerAbout this project写这个扫描器的时候还很年轻,觉得写出来一定特别牛逼,但后来由于工作和个人的各种原因,没有再写这个项目。后来看了很多的扫描器案例以及自己的视野越来越宽,有了更好的想法,另外再返回来看的时候,对自己写的这些代码特别不满意。故该项目为废弃的半成品,仅供后生研究使用,当然也欢迎各位......

CVE-2017-0199漏洞复现
CVE-2017-0199是首个Microsoft Office RTF漏洞,漏洞发布日期为2017年4月11日。受影响系统包括:Microsoft Office 2016Microsoft Office 2013Microsoft Office 2010Microsoft Office 2007当用户打开包含嵌入式漏洞的文档时,此漏洞允许恶意攻击者下载并执行包含PowerShell命令的Visual Basic脚本。微软官方对该漏洞的通告:https://portal.msrc.m......


© 2019 Tuuu Nya's Blog . 由 Typecho 强力驱动 | Theme By Jimmy