WiFi Password Graber Rubber Ducky Script for win10

This rubber ducky script will automatically create a FILE which consist of all the wifi password in target computer you pluged in usb.

Also, upload a wifi-password to ftp server.

Note: this script can’t bypass Windows Firewall Msgbox!

淺談 HTTP、HTTPS、HSTS 安全 MITM、SSLStrip

01

眾所皆知要監聽帳號密碼已經不是難事,如上圖所示已經取得了”非HTTPS”加密連線的帳號密碼。最近研究少有成果,來寫篇文章留個紀念,當作我已經懂了原理。若有錯還請各位高手指正。

02

正常HTTP連線是不會有任何駭客可以侵入,例如手機網路(不談破譯基站或偽造基站)、非共用的私人網段。

03

一旦在區域網路上有他人的存在,就可能造成資安漏洞被MiTM(中間人)攻擊,竊聽信用卡、帳密…等資訊,例如:公用電腦、公用WiFi。所以很多重要網站(如:Google、FB)都有透過加密連線。如下圖所示,綠色鎖頭 https。

ssl

HTTPS的誕生就是預防被竊聽,它的加密現在有兩種形式,一個是RSA、另一個是ECC,都是利用數學難題作為基礎來加密資訊。

04

由上圖可知,每台電腦在出廠時,都會有”證書”存在自己電腦,不需要經過網路傳輸。也就是 CA Root 。所有證書的簽發都是一層一層向下簽,CA簽發給CA下的單位如DV、OV、EV證書驗證機構,再簽發給域名。而瀏覽器默認信任CA Root,由於來源可靠,故此域名就跟著被一塊信任。

0605

當攻擊者想要竊聽 HTTPS 時會造成問題,因為攻擊者沒有私鑰,無法解密訊息,導致此監聽就無意義了,故只能偽造證書。但是偽造證書會出現一個問題,瀏覽器會警告用戶此證書不可信任(域名錯誤、來源不可信…等)!

CA-unknowCA-domainerror

所以攻擊者需要監聽HTTPS的辦法就是,想辦法讓瀏覽器不要透過HTTPS連線,利用SSLStrip可以達到此目的,假設此伺服器是強制HTTPS的情況,就會變成駭客與伺服器做安全連線,而真實用戶與駭客間採用HTTP連線。

08

因為這種情況的發生,所以進而加入一個新功能HSTS,嚴格HTTPS連線,一旦連上了HTTPS,就會發送HSTS頭部訊息,瀏覽器接收後,此後不管任何到此域名的連線都會變強制在本地端做307導向。使攻擊者只能接受並原封不動的傳送此連線資訊,而無法被監聽。

09

但不少用戶在瀏覽器網址框都是直接打 域名 或是 打 http:// 而不是 https:// ,所以普遍用戶都是 301 轉跳到 HTTPS,在第一次連接時的頭部訊息,如果發動了攻擊,就可以偽造後續所有連線,所以…SSLStrip還是略勝一籌阿。

10

基於此緣故,現行網際網路又推行了一個新東西:HSTS preload,顧名思義,預先載入,各網站的擁有者可以登入自己的域名到 preload list,等日後瀏覽器更新時,就會把這些網站列表編譯進瀏覽器內。此後瀏覽器,不用透過 301 轉向,直接查詢網站是否在清單裡,如果存在,則直接強制HTTPS連線,就算用戶輸入 http:// 開頭,還是一樣強制307轉跳到https連線。

11

這已經是終極預防措施,不過,經過我去查網路上某資訊得知,這個清單在Chrome瀏覽器中並非靜態,造成可以利用Delorean時間竄改工具,攻擊瀏覽器,使之 preload 清單的 域名 過期,回到原本 先訪問 HTTP 再 轉跳 HTTPS 的模式,造就了 駭客再次入侵。SSLStrip 還是贏了……防不勝防!上網時要注意看是不是綠色鎖頭喔~

12

不用寄信 檢查 Email 是否 真實 存在 PHP

01

最近很常研究 Email,由於是自己架設伺服器,比較麻煩,所以更深入研究了一下下。

今天想到就寫一篇,真實檢查 Email 的方法,因為這個不是驗證 Email 格式與否,而是直接驗證 此Email是否存在,並且無須寄信即可以檢查。

首先先查詢 Email @後域名的MX紀錄,再查此IP,得到 IP 後即可透過 TCP 連線至該 SMTP 伺服器驗證以確立此 Email 確實存在,而不是亂打的。

代碼醜陋,請各位看官不要介意。

Bash 自動備份網站與異地備份

這是我現在所用的方法,直接分享出來,備份壓縮網站資料與資料庫十日,自動刪除近十日之外的檔案。

建立一個 backup.sh 檔案,內容如下:(FTP地址帳密、網站路徑、資料庫密碼…要自己修改一下)

創一個文檔在 /home/user/secret.cnf (或你喜歡的地方),然後設定權限 400 或 600 內容填入如下。

最後 在終端機 打指令

在最下面加入:(設定定時任務,零時零分自動備份網站並透過FTP外寄出去)

這樣就可以完成幾乎全自動的備份。

Telegram Bot 開發機器人 (2) Python

02

這是我第二篇文章有關於 Telegram 機器人,此機器人的功能極其簡單!監控伺服器的使用率,最近因為在伺服器又搞了一個很麻煩的東西,要時時刻刻注意有沒有異常。所以才寫了這個小程式(如圖)。

本文直接省略@BotFather產生機器人的說明,我想那應該不是問題。第一篇文章請參考:淺談Telegram開發機器人

本程式一旦運行,就不會停止,每隔固定幾秒鐘會自動更新訊息,會一直不斷的編輯,而不是一直送出(Telegram 有支持編輯訊息的功能)。直接上程式碼。這次使用Python,因為牽扯到系統,用 PHP 就不太適合了。

若在 Linux 的環境下,使用 tmux 輸入指令會比較好。因為它可以在背景運作,可以直接關掉 terminal。

01

淺談Telegram開發機器人

01

我做了一個很簡單的計時器,為了某群組裡面的高中生而設計,這也是我首次製作 tg 的機器人。我才做兩個而已,所以有些功能我真的不知道的我也沒辦法為您解答。

以下是講我的經歷:

首先必須先註冊個telegram帳號(廢話),然後搜索聯繫人@BotFather  這很重要,加入這個機器人之後,首先輸入:/newbot ,然後再輸入你想要取的名子(可以是中文),接著系統會提示你再輸入用戶名稱,結尾必須是 bot ,而且僅英文以及下畫線,接著你的機器人就創立了,BotFather會告訴你,你的Token,這很重要,因為等下傳送或是接收訊息都要用到這組文字。

開始就是程式設計的部分,我個人是比較熟PHP,所以用PHP開發。而且還是改寫自官方的腳本。但我現在已經明白原理了。

程式碼都獻上了,現在開始講原理。

首先必須要有一台服務器,來執行WebHook,把你寫好的PHP檔案上傳到伺服器上面,注意檔名最好建立很特殊的名稱,讓一般使用者無法猜到你用什麼檔名,以預防惡意人士直接訪問你的程式。(洪水轟炸,或偽造請求之類的。)

上傳後,請直接訪問 https://api.telegram.org/botTOKEN/?method=setWebhook&url=https://www.example.com/secretbot.php

參數url後面接的就是你要接收的位置,僅支援https,完畢後一旦直接對bot講話輸入指令,telegram就會立刻送出對話內容傳到你的程式,而你的程式處理完之後再回傳給telegram,這就是它的工作原理。

得到的內容長得像:

簡單明瞭,這只是message的部分,有可能會出現其他資料,例如傳圖片,有人加入群組時,就會不同了,請參閱 telegram 文檔,https://core.telegram.org/bots/api

而我的設計是當使用者輸入 /start 時,就會回傳 聊天室 id,因為我需要 id 才可以讓我直接發訊息回去,否則必須每次都是被動型傳輸,這樣我就可以主動傳送了,因為我不需要依靠對方先傳訊息給我才可以取得 id 回傳。

而我設定輸入指令 /show 時 就會彈出距離目標時間還有多久。而且利用 cron job 定時任務,每天都會 run 這程式發送一次倒數訊息。這就是整個簡單的概念。

接下來,在 tg 上就可以直接操作並直接顯示結果了,唯一缺陷就是沒有指令選單。這時可以再向 BotFather設定,輸入 /setcommands,再輸入 @botname指令(英文)+空格+簡介。(可以多行輸入)

最終預防機器人被濫用亂加入群組,可以設定鎖定,/setjoingroups@botname → Disable

這樣就大功告成了。其他功能自己探索,其實很簡單的。

音樂播放程式 Media List Viewer

01 02
本程式可以選擇特定資料夾目錄並列舉資料夾內所有音樂,以資料夾為第一級/或子資料夾分類,並包含搜尋功能(可自訂資料夾內搜尋),置頂功能(一律顯示在最上方)。只是個簡單版的輕巧小程式。
下載地址【二】:http://cht.tw/h/p9bxu

PHP 利用 cUrl 抓取 HTTPS/HTTP 網頁

最近不知道要發什麼,這篇這是純當筆記用。

 

超商繳費儲錢進去Paypal帳號

首先,這個方法透過不少外國管道有點類似洗錢,但是是合法的!請別擔心。

第一步先註冊BitoEx的帳號:https://www.bitoex.com

註冊帳號是為了購買全球通用的國際虛擬貨幣比特幣。

而比特幣可以在 BitoEx 購買到。(可全家超商繳費付款,目前只能”全家”!)

買比特幣教學參考:https://www.bitoex.com/fami?locale=zh-tw

購賣完成依照指示儲金額進入BitoEx之後,

到E-coin辦理帳號。https://www.e-coin.io/

然後登入帳號,因為 e-coin 網頁設計有點不良,所以建議別使用 Opera(無法轉換貨幣)、IE(下拉式選單有誤,無法轉出金額),請使用 Firefox 瀏覽器(全部功能正常)或是Google Chrome!這很重要,沒有的趕快去裝!

00

首先先註冊!右上角的 sign up,剩下大家就自己來了,註冊完畢記得驗證信箱,然後登入。

01

接著進入總覽,點擊 View address 顯示比特幣地址。

02

然後複製,用你的 BitoEx帳號寄錢到 那上面顯示的比特幣地址!個人建議至少寄 15 美元的比特幣,經換算大概是 台幣 500 塊,比特幣 0.035 BTC (2016.04.06的均價,未來比特幣價格可能會波動,所以僅供參考。)!寄送完成之後,並不會馬上入帳,可能要等個半小時至兩小時,也許更快,十分鐘就好了,這個視情況而定。

03

等確定入帳之後,就點 Request new card 請求一張借記卡(Debit Card)。

04

這個過程需要花費 3 $ ,的價格,記得類別要選 “Virtual” ,非常重要,選實體卡片會要你上傳身分證明,而且它會寄送卡片到你家去。請選擇虛擬卡!價格又比較便宜。

05

填完一些基本資料,大部分都可以亂填。

06

結帳,後續大概就自己操作就知道了。訂購完成之後,會發一封 email 告訴你,你的卡號和CVV 及 過期日,過期日前兩碼是月份,後兩碼是年分。例如:03-19,就是代表2019年03月。

07

因為剛辦完卡,所以裡面都是空的,0 $ (別妄想會送你錢),所以得自己存錢。點擊 Load Card

08

輸入你要儲的金額,注意,這裡只允許!最低 10 $ !最高 2500 $ ,這卡片有限制,若要用更大金額,請先上傳身分證明。然而我們只是要驗證 Paypal,以及小額付款,所以不需要用到那麼大的金額。

等儲錢進去後,辦理你的Paypal.com帳號,填入你的基本資料後,新增信用卡就用當初email寄給你的資料填寫!點擊驗證!

09

就會有紀錄在你的e-coin交易!而那四位數字就是你的驗證碼。刷新Paypal,填入四位數字驗證碼就完成驗證了!

接著你就可以利用 Paypal進行匿名全球交易,而且只靠”超商繳費”與假身分。

SoundCloud Downloader EXE

00 01

本程式可批量下載 soundcloud.com 的音樂,下載該名藝術家的所有音樂並編號,或是下載某播放清單的所有音樂,或是下載單首音樂。

The Application is able to mutiple download the music from “soundcloud.com” ,  you can also download all the song from the artists you love , and you can download specific playlist or tracks.

版本(Version):1.0.0.0
Last update:2016.04.03

下載地址【一】:https://sites.google.com/site/1456wbff/home/SoundCloudDownloader.7z?attredirects=0&d=1
下載地址【二】:http://cht.tw/h/ztk63
產品頁面:http://wbf.twgogo.org/product/soundclouddownloaderexe