推荐学习书目
› Learn Python the Hard Way
Python Sites
› PyPI - Python Package Index
› http://diveintopython.org/toc/index.html
› Pocoo
值得关注的项目
› PyPy
› Celery
› Jinja2
› Read the Docs
› gevent
› pyenv
› virtualenv
› Stackless Python
› Beautiful Soup
› 结巴中文分词
› Green Unicorn
› Sentry
› Shovel
› Pyflakes
› pytest
Python 编程
› pep8 Checker
Styles
› PEP 8
› Google Python Style Guide
› Code Style from The Hitchhiker's Guide
这是一个创建于 4135 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前项目已经完成了前台注入,后台ip验证,后台上传的弱点模块。当然对于网络安全来说,仅仅这三个点也只是凤毛麟角。整个项目代码是采用webpy+sqlite+mako编写,还有很多弱点模块需要编写,也有很多代码需要完善。目前项目已经发布在sae上测试这三个功能 http://valo.sinaapp.com 但是sae条件限制,所以sae上的代码已经修改为webpy+mysql+jinja2。我做这个的目的是为了普及互联网安全的重要性,并且提供给初学者一个模拟学习的web平台,但它现在还很小很小,所以希望有人能够加入,和我一起完成它。再补一句,目前的代码已经被南邮采用作为他们下一届安全大赛的试题了!
求加入!
求加入!
第 1 条附言 · 2013-07-30 17:06:32 +08:00
啊,有没有志同道合的朋友愿意一起来啊?看来有几点我得先说明一下。。。
1,此项目beta版发布之后将对外开源,目前是alpha版
2,本项目版权归所有参与开发的朋友,无轮你付出多少,都会留下你的名字
3,是不是需要建个Q群之类的?
求!加!入!
1,此项目beta版发布之后将对外开源,目前是alpha版
2,本项目版权归所有参与开发的朋友,无轮你付出多少,都会留下你的名字
3,是不是需要建个Q群之类的?
求!加!入!
第 2 条附言 · 2013-07-31 11:08:44 +08:00
项目群号:235991102
希望能有3-5人加入,源码一共有两个版本,第一个版本是webpy+mako+sqlite,第二个版本是webpy+jinja2+mysql+sae。
所有成员可以获得 webpy.net 或者 append.cn 的邮箱一枚,但是邮箱名不能是root,admin这样的关键词哈。
希望能有3-5人加入,源码一共有两个版本,第一个版本是webpy+mako+sqlite,第二个版本是webpy+jinja2+mysql+sae。
所有成员可以获得 webpy.net 或者 append.cn 的邮箱一枚,但是邮箱名不能是root,admin这样的关键词哈。
 |
1
ttskym 2013-07-27 19:46:52 +08:00
帮顶,大南邮威武。
|
 |
2
janxin 2013-07-27 20:21:50 +08:00  1
Web攻击模型可以试试OWASP出的webgoat,包含绝大部分的web常见攻击方式,不过是入门阶段的
楼主的项目也不错 :) |
 |
3
fucker OP @janxin 你说的没错,出名的还有DVWA,但现在大多数代码都是基于php的。这样的话,如果测试项目是自己用,还没什么人,如果是给一部分人用,那么即便仅仅是测试,测试程序的代码本身的安全性还是略为堪忧,如果再作为比赛试题的话,也有泄露源码的风险。如果是用python或者是perl、ruby、nodejs这样的来做,就可以从根源上避免作为比赛用题的尴尬境地。。。
大神有性趣参与不?目前是我一个人在做,还有很多很多东西需要添加上去。 |
 |
6
panlilu 2013-07-27 22:48:56 +08:00
@fucker 好久没有玩这种了。。
做到了这一步。。 恭喜你获得了本关第二个KEY: (已隐去) 接下来的挑战是得到一个webshell~ tip:Valo大牛的服务器似乎是CentOS5.5 + Apache2.0.52 + php5.2 话说。。sae的python环境不能这么玩吧。。 |
|
9
panlilu 2013-07-27 23:12:02 +08:00 1
@fucker 后面上传文件失败是不是目前属于这个游戏还没完善?
我建议可以用一下社会工程学,登陆到某ssh或者拿到邮箱再通过邮箱找回哪儿的密码?(这是目前危险性最大的东西了吧我觉得。。) 凑后台地址凑了好久。。 |
|
12
fucker OP @panlilu 上传不是不完善,是做了文件后缀的验证和文件头验证,但是后台给了提示说是php的,那么就要加上php标签才可以,构造一个文件文件名可以是xxx.php.rar,文件内容是Rar!<?就可以了
|
|
14
fucker OP @panlilu 有没有性趣一起啊,大神。社工方面我也有考虑,现在很传统的比赛方式是给一个邮箱或者给一个xss,然后直接发xss平台构造好的链接,下一步就是进后台。我现在是在思考一种新的方式。还有,我原来设计的后台部分并不是通过一个注入拿两个key,但是南邮方面说是注入拿一个key,HTTP_X_FORWARDED_FOR一个key,上传一个key。我原来设计的是HTTP_X_FORWARDED_FOR注入。。。。
|
|
15
panlilu 2013-07-28 00:12:49 +08:00 1
我想到一个idea是你可以用webapp包装一下,去sql注入restful的api。(虽然写个webapp停费工夫的,不过这样看上去就高端洋气了很多
HTTP_X_FORWARDED_FOR注入 这个idea不错。。(有点偏了吧 另外最近真的很忙,抽不出时间弄这个见谅。 ps 不太喜欢把兴趣说成 “性趣”。但愿你不是故意的=。= |
|
20
fucker OP @kojp valo的确是一位神一样的大牛,是我的好朋友。如果你见过他,那么应该是在wooyun,习科或者其他著名论坛里面。
|
 |
22
binux 2013-07-28 01:42:00 +08:00
@fucker 我还干过只有特定UA才会出现的后台,目录级ngnix转发不同后端什么的。。这事情就没完了
不过主要是性格不喜欢吧。。这种猜测性的东西,猜中了就中了,没猜中进度永远是0% |
|
38
fucker OP @panlilu =。=抱歉我眼瞎才看到你的回复。。。对于你说的RESTful,我对它的理解和撸码能力还有限,所以即便是你这样的建议仅凭我,目前还做不到。我更没理解你说的用webapp包装一下的意思,好吧这个不怪我语文老师。。
我很感谢你提了这些,不过既然没有时间那我也不勉强了,好可惜啊。 |
 |
39
xavierskip 2013-07-28 09:58:42 +08:00
哈哈,注入被发现了!
该怎么利用呢? |
 |
40
ccbikai 2013-07-28 13:52:31 +08:00
南邮……
|
|
42
fucker OP @xavierskip 和普通的注入一样,但是需要绕过注入检测,这也是一个难点啊
|
|
43
fucker OP @mozutaba 这没什么,有想法有思路会python,其他不会的可以再学。如果你会一些其他的技术,那就更好了,可以再扩展。就看你有没有兴趣参与了
|
 |
44
shenyuanv 2013-07-29 17:09:03 +08:00
已经通过sql注入找到账号密码,这个账号密码就是第一个Key?找到后台地址也是游戏的一部分吗?
|
|
45
fucker OP @shenyuanv 那倒不是,第一个key也在数据库里,拿到后台地址,也只是获得第二个key和第三个key的开始。。。
|
 |
46
fork3rt 2013-07-30 17:20:16 +08:00
哈哈,注入被发现了! ....
|
|
49
fucker OP @shenyuanv 啊哈,是啊,现在做的是针对sqlite的注入,要查询sqlite_master表的sql列哈~sae不支持sqlite,只能把mysql装的像一点sqlite了。。。以后想做多种数据库的注入,似乎不怎么容易实现。。。
|
|
51
fucker OP @shenyuanv =。=我没有完整测试过sae上的mysql注入,information_schema库应该可以用的吧?!
|
|
52
panlilu 2013-07-30 19:28:14 +08:00
= =.后台地址我真的是靠猜的,虽然猜的时间比较久毕竟还是猜出来了orz
|
|
54
fucker OP @panlilu 也可以啊,本来是想放进robots.txt里的,毕竟现在还是alpha无限内测,就暂时搁数据库里吧,可以通过注入查询到的。
|
|
56
shenyuanv 2013-07-30 20:05:53 +08:00
@fucker 现在就是针对sqlite注入发现了key-is-here的表,但是没有猜出字段名,话说key和后台地址应该都在这个表里吧?卡在这儿了,有点头疼,有小提示吗?
Ps:mysql的user()函数虽然过滤了,但是仍然可以绕过:44zlww****@10.67.**.**。这个属于游戏范围吗? |
|
57
fucker OP @shenyuanv sqlite_master表里面的字段是sql,但是别忘了加 ``。绕过了user()函数必然不在游戏范围之内啊,我没有详细测,只是大概过滤了一下。。
|
 |
58
ykennyy 2013-07-31 10:00:34 +08:00
有意加入
|
 |
60
lvye 2013-07-31 11:16:14 +08:00
你说的南邮的,不会指的是我吧??
|
 |
62
horryq 2013-07-31 11:18:15 +08:00
python 新手不知道要不要…
|
|
65
fucker OP @lvye 这里是程序员射区,没人射你资料的放心哈 =。= 话说比赛什么时候办呢?完了有没有录像啥的?我想看看那些同学们做我这题时蛋疼的表情。。。
|
 |
66
ashin 2013-07-31 11:27:02 +08:00
哈哈 不错 建议楼主把凤毛麟角换成九牛一毛
|
 |
70
cppoba 2013-08-16 00:36:40 +08:00
我有兴趣。能否加一下我。
目前进入到登录界面,但是IP限制,进不去~~ |
 |
71
itaotao 2013-08-16 11:05:04 +08:00
不明觉厉啊
|
Select Language