一年一度的澳洲CySCA CTF是一个由澳洲政府和澳洲电信Telstra赞助的信息安全挑战赛，主要面向澳洲各大学的安全和计算机科学专业的学生。

CTF环境全部虚拟化并且需要openvpn才能进入。

Charles是一款抓包修改工具，相比起burp，charles具有界面简单直观，易于上手，数据请求控制容易，修改简单，抓取数据的开始暂停方便等等优势！下面来详细介绍下这款强大好用的抓包工具。

from:https://www.netspi.com/blog/entryid/231/15-ways-to-download-a-file

在我们的入侵过程中，通常会需要向目标主机传送一些文件，来达到提权，维持控制等目的。这篇blog列举了15种下载文件的方法。

当然还有许多其它的办法来上传文件，下面的列表是15个我比较喜欢使用的技巧。

算上今年4月份的360 Hackergame通关战，这是我第二次参加CTF比赛，现将比赛过程的一些思路和想法记录下来，同时也感谢诸多大神的指教。

本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3r RingZer0 Team

很多文章中会说，数据库的权限按最小权限为原则，这句话本身没有错，但是却是一句空话。因为最小权限，这个东西太抽象，很多时候你并弄不清楚具体他需要哪些权限。 现在很多mysql用着root账户在操作，并不是大家不知道用root权限太大不安全，而是很多人并不知道该给予什么样的权限既安全又能保证正常运行。所以，本文更多的是考虑这种情况下，我们该如何简单的配置一个安全的mysql。注：本文测试环境为mysql-5.6.4

这里我使用的是谷歌安卓模拟器Android SDK,大家可以根据自己的系统来定，我使用的是window64系统，大家选择下载的时候可以注意一下，同时也是使用这个系统来演示。下载地址：http://developer.android.com/sdk/index.html

meterpreter作为后渗透模块有多种类型，并且命令由核心命令和扩展库命令组成，极大的丰富了攻击方式。 需要说明的是meterpreter在漏洞利用成功后会发送第二阶段的代码和meterpreter服务器dll，所以在网络不稳定的情况下经常出现没有可执行命令，或者会话建立执行help之后发现缺少命令。 连上vpn又在内网中使用psexec和bind_tcp的时候经常会出现这种情况，别担心结束了之后再来一次，喝杯茶就好了。

很多人经常会把Unicode和utf-8的概念混淆在一起，甚至会拿它们去做比较。实际上这种比较是非常的荒谬的。这就犹如拿“苹果”和“僵尸”去做比较，当然我觉得可以是更夸张的例子。所以，首先需要声明的是Unicode不是字符编码。我们可以把Unicode看做是一个数据库，不同的码点(code point)会指向不同的符号（如下图所示）。这是一种很简单想法，当你说出一个符号的码点时，别人就会知道你在说的是什么符号。当然了，如果他不知道也可以去查询Unicode表。

nmap的基本介绍和基本使用方法，在乌云知识库中已经有人提交过，讲的比较详细，在此文中就不再讲述。 具体链接：http://drops.wooyun.org/tips/2002

本文主要讲解nmap的众多脚本的使用，在内网渗透的时候尤其好用。

心脏出血（CVE-2014-0160）后，Openssl 拿出专项资金进行了代码审计，于6月5号晚发布了所发现的漏洞公告。

项目组在无线环境下实现了Ubuntu12.04和Android4.0系统在Pandaboard ES开发板上的无线加载、启动及切换。启动过程中操作系统内核uImage和临时根文件系统uInitrd通过wifi网络加载到SD卡中，SD卡中只有轻量级的操作系统引导程序及我们特制的meta OS，系统实际的根文件系统rootfs存储于远程的服务器上，我们使用NFS协议在无线环境下挂载实际的根文件系统完成系统的启动。

数组是在内存中连续排列的一组变量，这些变量具有相同类型1。

笔记在kali linux(32bit)环境下完成，涵盖了笔者对于metasploit 框架的认识、理解、学习。

这篇为基础篇，并没有太多技巧性的东西，但还是请大家认真看啦。

如果在阅读中有任何问题都可以与我邮件联系（contact@x0day.me）

传统安全技术把用户生物信息作为信任对象进行可信计算来当作认证因子，包括对用户进行生物信息模式识别，对目标的生物模式进行密码学计算，对目标进行融合验证计算等。生物信息特征种类繁多，现阶段包括：指纹,人脸,语音等等，间接生物识别包括DNA图谱识别，涉及化验技术才能进行，我们不是法医，这里不做涉及讲解。