Mooder团队内部贡献平台

作者: 分类: 资源分享 时间: 2016-10-23 21:12 评论: 13条评论 浏览: 2503人看过 标签: django mooder 团队

小介绍:Mooder是一款开源、安全、简洁、强大的(安全)团队内部知识分享平台,基于Django、全封闭保证私密性、支持Markdown、支持Postgres/Mysql/Sqlite等多种数据库、支持Docker-compose一键化安装与更新,易于二次开发。

今天开源的一个小玩意,上个月到这个月陆陆续续写的,这几天下班以后也会写几行这个,进行产品上的微调,然后修一些BUG。本来是给自己团队写的一个东西,但想想感觉应该有很多团队都需要这个,于是就开源了。

项目地址: https://github.com/phith0n/mooder

文档地址: https://phith0n.github.io/mooder/

为什么会有Mooder

有的人把Mooder理解为一个漏洞平台:团队成员可以提交漏洞,管理员进行审核与评分,最后能够兑换礼品或兑换其他人的漏洞。

但我把它理解为一个“团队贡献”平台,绝不是分享漏洞,而是分享知识。最初我在设计Minos的时候就有这样的想法,只可惜后面走偏了,把Minos做成一个社区了。后来我想想,还是需要这么一个东西,于是我又写了Mooder。

一个团队需要有自己独一无二的内容,才能吸引更多人才,而这个平台将是承载这些内容的载体。

做Mooder的初衷是为了团队内部的交流。由...

阅读全文>>

ubuntu 15 下简单安装lamp环境

作者: 分类: 资源分享 时间: 2016-4-20 2:34 评论: 2条评论 浏览: 2577人看过 标签: Ubuntu 三个白帽 apache

我们来用三个白帽( http://www.sangebaimao.com/ )做演示。三个白帽平台是一个基于docker的实验环境平台,我们在三个白帽中可以简单找到适合自己实验的环境,并一键启动,拥有root权限,后续的工作就跟在正常vps上操作是一样的啦~

首先,找到ubuntu 15的镜像,点击启动:

14610869687809.jpg

启动起来了,直接点击最下方的进入结界链接:

01.png

获得一个交互式shell:

阅读全文>>

使用Let's Encrypt保护你的数据包

作者: 分类: 资源分享 时间: 2016-2-13 0:05 评论: 13条评论 浏览: 4126人看过 标签: 免费 ssl证书

【过年了,每天发一篇以前的存货,一共七篇。】

Let's Encrypt是去年底推出的一个免费SSL证书,且申请这个证书基本没有任何限制,只要你证明你是域名的所有者,你就可以为你的域名申请一个SSL证书。

我今天就来为我的 wiki.ioin.in 申请一个时髦的Let's Encrypt证书。

首先,我利用到的是acme-tiny,这是第三方人士开发的一个扩展。因为Let's Encrypt官方给出的方法比较麻烦,而acme-tiny这个小工具可以让用户敲几条命令即可生成好我们需要的证书。

下载acme-tiny: https://github.com/diafygi/acme-tiny

首先,生成一个用户私钥: account.key,acme-tiny通过这个证书来登录Let's Encrypt。再生成一个域名私钥,domain.key

openssl genrsa 4096 > account.key

openssl genrsa 4096 > domain.key

然后利用ACME协议,将domain.key生成domain.csr。如果你只有一个域名需...

阅读全文>>

Sec-News | 新的安全知识学习方式

作者: 分类: 资源分享 时间: 2015-8-21 13:12 评论: 4条评论 浏览: 3478人看过 标签: sec-news rss

    用python + flask + mongodb 开发了一个news类的分享站点:http://wiki.leavesongs.com,我把平时喜欢的文章、待看的文章、看过的文章发到里面,和大家一块学习。

    这也是我推出的新的安全知识学习方式,sec-news + feeder-rss。

    sec-news当然就是我当前这个网站,feeder是什么呢?feeder是一个chrome扩展:http://feeder.co/

    利用这个扩展,我们能很方便地查看、订阅RSS。feeder界面如下:

    QQ20150821-1.png

    很简洁的,最新信息一览无余...

阅读全文>>

如何简单地找回保存在浏览器里的密码

作者: 分类: 资源分享 时间: 2014-6-19 8:41 评论: 11条评论 浏览: 4468人看过 标签: 找回密码 浏览器

    一个简单的议题,也是同学们比较常遇到的问题,怎样找回保存在浏览器的“自动填写表单”功能中的密码。最容易想到的当然是抓包。一般的网站数据包里密码就是明文的,不过有些却也不是,可能是经过hash之后传递的(多数大网站)。

    还有些浏览器自带此功能,但总有诸多限制。比如chrome需要输入当前windows密码:

    0011.jpg

    猎豹浏览器需要输入之前设置的手势安全锁:

    0012.jpg

    真蛋疼是吧。

    这里给一个小技巧,利用javascript来获取当前保存的密码,多浏览器通用的,简单又实用。

    我平时多用猎豹浏览器,这里先用猎豹做个例子吧。dnspod应该是安全性要求很高的一个网站了,从域名的https就可以看出。那么,我现在就来找回一下保存在猎豹浏览器中的dnspod密码。

   ...

阅读全文>>

actf-2014-.L-writeup [by 冷夜]

作者: 分类: 资源分享 时间: 2014-4-8 13:50 评论: 2条评论 浏览: 4441人看过 标签: ctf writeup

   协会actf2014队伍.L所有writeup,writen by 冷夜

    播放地址:http://le4f.net/post/writeup/-ctf-actf-2014-l.-writeup

阅读全文>>

discuz附件免费下载器

作者: 分类: 资源分享 时间: 2014-3-9 1:34 评论: 7条评论 浏览: 11035人看过 标签: discuz 平衡权限

    最近关注的一个discuz平衡权限漏洞,可以绕过附件下载权限达到免费下载附件的目的。于是,自己用C#开发了一个小程序,给大家编译好的exe文件供参考。

    0x01 原理解析

    附件的url类似于这样 http://sb.f4ck.org/forum.php?mod=attachment&aid=MjMzMDZ8MDY4OTkzN2Z8MTM5NDI5OTk2MHwzNTUwfDEyMTgx,aid是一个base64编码过的字符串,其中包含了你的uid。我们只需要把这个uid替换成管理员的uid,就能轻松绕过权限控制,直接下载附件了。

    0x02 使用方法参考

    01.找到要下载的附件,右键属性,拷贝其url:

    001.jpg

    02.粘贴进软件中。这个时候请注意了,其中要填写一个uid,这个uid默认为1。这个uid代表着你用哪个用户的身...

阅读全文>>

【重要】emlog防御CSRF小插件

作者: 分类: 资源分享 时间: 2014-2-16 21:06 评论: 6条评论 浏览: 5356人看过 标签: emlog插件 CSRF漏洞

    emlog始终有个致命的问题,后台基本没有防御CSRF的措施,导致很简单的一个CSRF即可秒杀整个博客。

    在此环境下我决定自己开发一个能防御部分csrf攻击的小插件,当然要真正杜绝CSRF的话还是的修改后台的内核代码。在我们用户不能修改或不会修改内核代码的情况下,使用本插件还是能起到一定的防御作用。

    界面借用了智者牛的站点安全保护插件:http://zhizhe8.net/?post=85730。

    哈哈,不要吐槽我:

    005.jpg

    插件原理比较简单,敏感页面(GET方式传值的)与含有POST数据的页面,判断referer。如果referer中的host和blog的host相同,则放行。

    插件有几个小tip:

    1.有的同学说referer可以伪造,确实可以伪造,但在CSRF中我们是没法伪造的(除非有浏览器漏洞?)

    2.emlog...

阅读全文>>

联想Y480 ubuntu安装有线驱动

作者: 分类: 资源分享 时间: 2013-11-10 0:56 评论: 3条评论 浏览: 5544人看过 标签: Ubuntu
    电脑可以连无线但不能连有线,推测没有装有线网卡的驱动。上网上找到了方法:
sudo apt-get install build-essential linux-headers-generic linux-headers-`uname -r`
wget https://www.kernel.org/pub/linux/kernel/projects/backports/2013/03/04/compat-drivers-2013-03-04-u.tar.bz2
tar -xj compat-drivers-*
./scripts/driver-select alx
make
sudo make install
sudo modprobe -r alx && sudo modprobe alx

    中间在执行make时会提示/home/phithon/compat-drivers-2013-03-04-u/include/linux/compat-3.8.h:49:32: 错误: ‘kref_get_un...

阅读全文>>

Bluebox 移植主题 免费发布

作者: 分类: 资源分享 时间: 2013-10-24 17:56 评论: 43条评论 浏览: 9660人看过 标签: emlog 模板


前言===========================================

    之前Typecho在停滞了两年之后发布了更新,改动很大,也让再一次关注typecho。就在这个过程中发现了这款主题,感觉很不错,可以拿到emlog来用。于是我下载了其源码开始移植,这就是你现在看到的1.0版本的bluebox。

    原作者链接:http://banri.me/

    首页:

    04.jpg

    typecho中没用微语,所以我额外写了一个微语页面。

    01.png

    原版中使用的多说评论,我删掉新写了一个原生的评论。

    02.png

    侧边栏省略了,但保留“链接”、“标签”、“随机日志”三个栏目,在底部。在后台更改链接即可显示在底部,但标签、随机日志不可隐藏。

    03.png

    当日志中有图片时显示图片,没有图片时显示日志摘要。

    我保留作者的版权并加上了我的版权。本来我不想免费发布出去,特别是在中国这种只为索取不为付出的网络环境中。后来想想,还是觉得还是加密一下源码发布出去。

    我希望使用这款模板的朋友保留作者和我的版权,同时保留emlog版权。



阅读全文>>

Top ↑ sitemap More