sectown-CSDN博客

原创一张纸解锁指纹解锁

1024 是传说中的 “爱码士节”（热爱代码人士的节日），也是一年一度 “GeekPwn 极棒破解大赛” 的固定举办时间。今年不仅延续了往届不羁的赛事风格、多元化的挑战项目、业内顶级的评委现场坐镇、丰富的烧脑解谜互动游戏……更是邀请来“最强大脑”蒋昌建老师担任主持人，妙语连珠贯穿全场。发现今年有个项目标题特别嚣张：“一张纸，秒破手机指纹锁”。号称“一张纸破解指纹识别”的选手名叫马卓...

2018-10-31 15:01:44 1203

原创室友靠打游戏拿30万offer，秘密竟然是...[文末有福利]

又是一年秋招季，苦逼的小编还天天泡在图书馆里刷PAT，室友大佬却已经到处拿offer。上周某室友已经成功拿到杭州某企业年薪30W的offer，小编虚心向其讨教，某室友一脸兴奋地告诉小编，HR让面试者们体验了一款超赞的游戏，经过几小时奋斗，他的游戏完成度得到了HR的肯定，于是顺利拿到了offer。What?!玩游戏也能拿offer？室友在小编一脸不相信中道出了真相,原来室友体验的游戏并非传统的游戏，...

2018-10-17 10:13:30 298

原创安全杂谈|伪基站——是什么绑架了你的手机

上期我们说到有人晚上发现手机突然没有了信号，睡醒时就发现收到了一堆短信，接下来，手机里的钱就不翼而飞了，之前的实验说明是利用伪基站进行的。伪基站这个东西很老了，但是最近又有一些不法分子利用它谋取钱财的时间进入了公众的视野。（视频： https://v.qq.com/iframe/preview.html?width=500&height=375&auto=0&vi...

2018-09-30 10:00:07 1056

原创安全杂谈|你家的路由器安全吗

“家里的无线好慢啊！”，“咦，怎么有这么多人连上了我家路由器！”，“诶，路由器信号怎么这么弱，家里宽带也不差啊！”……生活中你是否也有这样子的烦恼，面对家中路由器的无奈。互联网时代，人们的生活已经离不开网络，路由器也在人们生活中扮演着越来越重要的角色，但是，这也给一些不法分子可乘之机。为什么黑客偏爱路由器进行攻击呢？出来混总是要还的，相比于有安全软件守护的家用电脑，路由器的防护便没有...

2018-09-21 10:45:59 1282

原创安全情报局|网络安全宣传，我们在路上

为弘扬科学精神，普及科技知识，倡导健康科学的生活方式，2018年9月18日上午9点，全国科普日暨西湖区第32届科普宣传周活动在莲花广场启动，同时也宣告2018年全国网络安全宣传周活动正式开始本次活动以“创新引领时代，智慧点亮生活”为主题。在主会场莲花广场，现场的VR学习机，任意伞以及AI智能机器人等智慧产品及前沿技术为大家带来的惊喜。还有科普嘉年华活动、科普便民咨询服务活动等，在大...

2018-09-19 17:15:59 252

原创安全杂谈|《暗网》：互联网领域的水下冰山

电影：《解除好友2：暗网》上映时间：2018 国家：美国类型：恐怖导演：斯蒂芬·思科主演：贝蒂·加布里埃尔/科林·伍德尔/瑞贝卡·瑞滕豪斯/安德鲁斯·李斯如果某天你在街上捡到一个Macbook，你会怎样处理它呢？在电影《解除好友2：暗网》中，一位男青年捡到了一台Macbook，它则将其拿回家后猜对了密码成功进入了系统，然而他在把玩的过程...

2018-09-15 14:52:53 1227

原创黑客之间的竞技“运动”

2018年10月27日，浙江省首届大学生网络与信息安全竞赛将在杭州展开，经浙江省大学生网络与信息安全竞赛委员会研究决定，拟定分别于 2018 年 10 月 27 日和 11 月 4 日在杭州电子科技大学举办浙江省首届大学生网络与信息安全竞赛预赛和决赛。活动主要围绕CTF的形式进行计算机网络技术、Web 安全、逆向分析、移动安全、二进制漏洞挖掘利用、密码学、安全编程等范围的竞赛。 ...

2018-09-14 09:25:27 493

原创防火墙之危

电影名：防火墙导演: 理查德·隆克瑞恩编剧: Joe Forte主演: 哈里森·福特 / 保罗·贝坦尼 / 维吉妮娅·马德森 / 卡莉·许洛德 / 吉米·本内特类型: 惊悚 / 犯罪官方网站: http://firewallmovie.warnerbros.com/制片国家/地区: 美国 / 澳大利亚语言: 英语上映日期: 2006-02-02片长: 105 分钟又名: 错误...

2018-09-13 09:43:28 264

原创名侦探柯南之零的执行人

上映时间：2018年国家：日本类型：悬疑、冒险原作：青山刚昌《名侦探柯南之零的执行人》围绕“执行人”展开，以物联网安全作为影片切入点，从日本公安部门和日本公安监察部门之间的矛盾出发，讲述了这两个部门互相拉拢一些人作为自己的执行人，最终酿成了悲剧。电影开场，公安正在对东京峰会会场进行安全检查，结果会场却发生了煤气管线爆炸。接着，在现场发现了毛利小五郎...

2018-09-11 14:13:03 2198

原创 Ghost Tunnel

近年来，网络攻击事件频发，许多公共系统都会选择用物理隔离(Air-Gapping)的手段来使自己的计算机免受来自外界的病毒或者通过网络数据渗透主机等外部攻击。Air-Gapping是一种用于保护特定网络，采用物理隔离的安全措施，通常被用来防止通过网络连接途径造成的入侵事件及信息泄漏事件。网络隔离被认为是非常安全的一种措施，对其的攻击是非常困难的。攻击者无论是想利用操作系统、应用软件还是通信协议上的...

2018-06-11 17:34:04 568

原创你与大神之间的距离就差这本秘笈了

　　　　前几天　　通通的一个童鞋在聊天中提到毕业后想要从事网络安全方向的工作，虽然他本身也是学计算机的，但是又怕心有余而力不足。　　因为，　　①从事网络安全方面的工作向来起点都比较高　　②大学里少有开设这类课程的，在学校能够学到的知识比较有限　　③网上的关于这方面课程的质量又参差不齐　　④他觉得之前看得大多数关于网络安全的书都比较虚，偏重理论　　因此，想要通通给点建议。　　其实呢，学习网络安全是从...

2018-05-28 17:22:34 327

原创大家之言 | 谈“网络安全终身教育”

5.12"圆桌派”论坛精华集锦“网络空间安全终身教育”是个庞大的课题，通通整理了5月12日在浙江省网络空间安全终身教育论坛上政产学研用各界人士的精华发言。这次论坛是对“网络空间安全终身教育”一次横向和纵向的深刻探讨，可以说开启了网络空间安全终身教育事业的全新篇章。壹 ——专家学者谈网安浙江大学资深教授/杭州市信息安全行业协会会长【张森】人才培养靠兴趣、发掘鬼才是奇招。安全是一个终身考虑的问题，终身...

2018-05-28 17:20:55 1173

原创强强联手 | 共筑网络安全校园

快讯通本报讯/记者通近日浙江工业大学（以下简称“浙工大”）信息化办公室带领网络安全通团队一同对浙工大校园网进行全面的检漏排查，对存在的漏洞进行紧急修补，全方位确保浙工大校园网的安全性与稳定性。校园网络，对于师生们来说是熟悉的陌生人。我们很多情况下会用到校园网，但对校园网却知之甚少。相信很多人对校园网都只是使用的时候想起它。那么校园网到底是啥？通通这边就科普一下。 ...

2018-05-28 17:17:41 793

原创网络安全进校园 | 走进诸暨学勉中学

随着移动互联网和信息技术的快速发展，广大学生的学习、生活跟网络可以说是全面融合。与此同时，网络诈骗、网络犯罪、密码盗窃、隐私泄露等网络安全问题也影响着学生身心健康问题。▇ 5月9日下午14:00网络安全通团队前往诸暨市走进诸暨学勉中学对学生们进行网络安全知识的宣讲。浙江省网络空间安全创新研究中心的执行主任——陈铁明教授作为主讲人在现场与同学们讲解了网络空间安全的相关知识，解答了同学们在网络安全方面...

2018-05-18 15:55:18 707

原创信安入门神级书单 | Mark一下？

▇一直沉迷于游戏无法自拔？想学习又找不到认真学习的理由？学习信息安全，却又苦于入门不得法？也许你需要这份神级书单带领你走向人生巅峰过去的几周里我们勤勤恳恳、任劳任怨、不分昼夜、风雨无阻......为在座的各位吐血整理了这份信安入门神级书单背后的辛苦通通不说（你们也晓得）著名的三毛女士曾经说过“读书读多了容颜自然改变”看完接下去通通推荐的这十本书容貌改不改变我不知道但是牛X的资本确实提高了不少呢本期...

2018-05-11 15:50:19 1268

原创钓鱼网站 | 擒拿小记

█ 2018.04.08 晚 19:18又是一个寂静无人的夜晚，本通正在被Boss苦逼压榨自己的剩余劳动价值的时候，突然公司老铁在群里发了一条微信。点进去是一条新闻，大概述说了男主人公（以下简称X男）一段短暂而惨痛的被骗经历。新闻的主人公X男在陌陌上认识了某个“小姐姐”（加引号的原因大家都懂，谁知道是不是一个2米高的壮汉......陌圈水深，大家擦亮自己的钛合金大眼），和“小姐姐”聊了一会儿。交友...

2018-04-17 15:51:18 1077

原创面向智能机器人的通讯安全机制研究与改进

摘要：射频技术当前发展速度迅猛，在目前的无线通信中占据主导地位。作为射频技术的主要分支之一，点对点射频通讯技术也有着十分广泛的应用，在智能机器人的通讯领域具有重要的地位。但是当前所使用的点对点射频通讯机制大多有着安全性方面的问题，无法保证数据来源的可靠性，通讯机制过于简单，在各项安全测试中都表现的十分脆弱，对于高安全性要求的智能机器人来说无法使用。对各种针对射频通讯的攻击方式进行相应的研究之后，针...

2018-03-26 13:34:29 1234

原创血族手游Lua脚本及资源文件解密

之前一直和朋友在玩手游血族。有一天朋友问我能不能把里面某个角色的立绘拿下来。当时没多想就答应了，以为只要解压找到图片就行了。但是万万没想到，图片竟然打不开（被加密了）。快速分析下载最新的血族apk并解压之后看到assets\lua可以猜测这个游戏是由cocos2d-lua开发的。打开其中的一个lua脚本看到里面都是乱码而且开头也没有特征值，应该不是使用xxtea加密的。story Lua.png打...

2018-03-07 17:10:33 3113

原创涨姿势｜无线键盘潜在安全隐患分析

背景介绍由于射频技术的发展，键盘连接到计算机不再局限于有线的连接方式，而是出现了使用射频技术的无线键盘。相比较于传统的有线键盘，无线键盘没有了繁杂的线缆，同时不再被距离限制。目前世面上的无线键鼠分为蓝牙类型和2.4GHz类型，其中2.4GHz类型的又占据了绝大部分的市场份额。2.4GHz类型的键鼠主要指利用专属无线协议开发的无线产品，使用时一般先在计算机的USB接口处插上一个适配器，鼠标和键盘通过...

2018-02-28 09:24:57 1595

原创隐形的监控——无线键盘侦听

在用户使用计算机时，键盘是信息输入的主要媒介，键盘输入包含大量的私人机密信息，包括帐号密码等，所以键盘侦听被各种攻击者所大量采用，成为一种普遍但是破坏力强大的攻击方式。键盘侦听主要通过键盘记录器来实现，所以大部分杀毒软件都把键盘记录器识别为恶意文件，各种高安全要求的网站例如网上银行等，也都要安全ActiveX安全模块来抵御键盘记录器的威胁。和传统的有线键盘不同，在使用无线键盘时，用户信息不再直接输...

2018-02-28 08:47:20 480

原创轻松劫持无人机，安全问题令人堪忧

无人机！无人机！无人机！无人机来了我们又多了一架无人机，好开心！但是作为一个技术党作为好奇心暴强的人，不搞(zuo)一波岂不是很对不起自己？准备工作：hackrf 一台一台已经装好Kali Linux的电脑遥控无人机和配套的遥控器hackrf环境配置见之前的文章，这里不再赘述。拆解：在对设备进行反复的操作之后，发现所获得资料实在太少，甚至连无人机工作的具体频段都无法获知，仅仅只是知道工作在2.4...

2018-02-27 18:00:52 1640

原创揭秘微信分享背后的陷阱

今早收到一个朋友分享的大润发二十周年庆海报，好奇心驱使我点了进去(为安全着想，本文所有二维码经过模糊处理)不曾想，扫码后的跳转却令我感到一丝异样。并不如平日扫描二维码一般直接跳转到活动界面。而是有两个无关紧要的页面一闪而过后，才进入了领取购物卡的界面。当时并没有多想，而是习惯性的按对方的要求进行了三次分享。老老实实分享完成后，却直接通知三日内发送卡号密码给我的微信，如图：一百元无门槛购物卡，无...

2018-02-27 17:46:10 319

原创高端大气上档次·玩转微信摇色子

每次宅寝室一起点外卖，谁下去拿都是个大问题，所以小编寝室一般选择微信色子，谁小谁去拿。但是小编运气不太好，总是输。所以寻思着能不能每次都让色子是6点。果然找到了方法。准备工作：需要一台已经root并且安装了Hook神奇Xposed框架。在Hook过程中最重要的一点就是要找到Hook点这也是最难的部分。找到Hook点之后编写Xposed模块就比较简单了。本次实验使用的weixin版本是6513.猜想...

2018-02-27 17:35:47 660

原创重放攻击之无线门铃

准备工作：这里使用的设备是hackrf，所以需要在kali下安装hackrf的驱动和环境。打开终端，在终端中输入以下命令：sudo apt-get install hackrf libhackrf-devlibhackrf0安装完毕之后，插上hackrf，运行以下命令，可查看hackrf的基本情况。如下所示：hackrf_info接下来需要安装一些其他软件，在终端输入以下命令：apt-getins...

2018-02-27 17:17:57 1803

原创恶意充电宝的克星——USB安全接口

之前，我们制作了一个恶意充电宝，通过恶意的充电宝我们能够完成各种各样的操作，包括安装APP，窃取联系人，窃取照片，甚至是包括对手机的远程的控制！所以，在制作出这个恶意充电宝之后，我们一直在思考如何针对恶意充电宝进行防御？为了解决这个问题，思考了很久，最后在关于USB接口的构造上面找到了相应的解决方法。理论准备首先，我们需要对USB接口的协议有一个了解。USB（Universal Serial Bu...

2018-02-27 17:06:31 998 1

原创共享充电，是雪中送炭还是暗藏危险？——恶意充电宝实验

重温一遍今年的315晚会。看完只想骂一句奸商！晚会上披露了一个可以通过充电控制用户手机的内容，作为离了手机就丢了半条命的现代人，经常会遇到在外手机没电借别人充电器、充电宝的情况。借到了你以为是遇上了好人，也很有可能是被卖了还帮着数钱。作为网络安全维护者的我们，为了防止更多的人上当，我们要坚决地披露这种行为。不过视频中的控制方式不是很清晰，刚好实验室到了一批树莓派（卡片式电脑），于是决定用树莓派进行...

2018-02-27 17:01:57 389

原创 python沙箱逃逸小结

之前，协会的同学去天津交流，天津大学的同学讲了一个python沙箱逃逸的案例。今天结合之前的所学和比赛经验写一个小结。案例1这是hackuctf 2012的一道题 defmake_secure(): UNSAFE = ['open', 'file', 'execfile', ...

2018-02-27 16:47:16 730

原创 iPhone锁屏却锁不住个人信息，iOS安全性真的很高吗？

听说你iOS安全性高？网络安全通成员用实验来发现你的漏洞。第一步查看一下当前系统的版本号第二步给目标iphone手机拨打电话第三步选择信息，然后点击自定义第四步随意选择三个表情，注意一定要三个第五步长按home键唤醒siri并且告诉siri打开设置第六步给iphone手机锁屏，再打一次电话第七步同样点击信息选择自定义第八步可以观察到打开的信息界面和之前已经完全不同，现在已经可以通过下方的一些按钮...

2018-02-27 16:25:38 345

原创 WiFi攻击进阶版——Deauth攻击

一、背景介绍：在之前我们做过Wi-Fi定位劫持实验，其实有关Wi-Fi的攻击方式还有很多，而且其中的大多数需要的设备和操作都很简单。今天就再介绍一种破坏性更强、隐蔽性更高的攻击方式——取消验证洪水攻击。首先了解一下什么是取消验证洪水攻击：国际上称之为De-authenticationFlood Attack，全称为取消身份验证洪水攻击或验证阻断洪水攻击，通常被简称为Deauth攻击，是无线网络拒绝...

2018-02-27 16:19:47 20949

原创 WiFi定位劫持·续篇——GPS劫持

准备工作：这里使用的设备是hackrf，所以需要在kali下安运行hackrf的驱动和环境。打开终端，在终端中输入以下命令：sudo apt-get install hackrf libhackrf-devlibhackrf0安装完毕之后，插上hackrf，运行以下命令，可查看hackrf的基本情况如下所示：hackrf_info 接下来需要安装一些其他软件，在终端输入以下命令：apt-get i...

2018-02-27 16:05:34 2054 1

原创 Wi-Fi定位劫持

一、Wi-Fi定位原理在Apple官方条款《关于隐私和定位服务》一文中有这样一句话：“如果启用了‘定位服务’，您的设备会定期将附近 Wi-Fi 热点和信号塔的地理标记位置发送给 Apple，以便扩充 Apple 的众包 Wi-Fi 热点和信号塔位置数据库。”通过这句话的描述也可以构想出Wi-Fi定位的原理：每一个无线AP（Access Point，把有线网络转化为无线网络）都有其唯一的MAC地址；...

2018-02-27 15:57:49 1683

原创 HID攻击进阶——WHID injector

前言HID是HumanInterface Device的缩写，意思是人机接口设备。它是对鼠标、键盘、游戏手柄这一类可以操控电脑设备的统称。延伸出的WHID代表基于Wi-Fi的HID注射器，即对HID攻击进行无线化攻击时的一种注入工具。本次实验采用的攻击原理如下图：攻击者使用ESP8266作为AP，在自己的电脑创建客户端连接AP。在客户端键入命令发送到ESP8266，它再转发给Arduino Leo...

2018-02-27 15:50:53 1265

原创简易BadUSB，攻击效果不简单

不久前，有小伙伴在实验室捡到一个U盘，想看看是谁的就插在了自己的电脑上，结果出现了安全软件的报毒通知……也是因为这件事有了制作一个BadUSB的想法，可以在不被杀毒软件发现的情况下进行一些操作。一、前期准备Arduino：这里使用的是BS Micro pro micro leonardo Arduino开发板。 Arduino IDE：二、原理BadUSB插入后会模拟键盘、鼠标对电脑进行操作，...

2018-02-26 08:36:30 12208 3

sectown的博客