├── LICENSE
├── MD_pic
├── OD连接.PNG
├── logo.png
├── 展示端展示被黑效果.PNG
├── 攻击端连接.PNG
├── 点选动态.gif
├── 牛顿1.PNG
├── 牛顿2.PNG
├── 牛顿3.PNG
├── 牛顿4.PNG
├── 管理系统.PNG
└── 邀请码.png
├── README.md
├── 展示端
├── Adminpanel
│ ├── admin.php
│ ├── changepwd.php
│ ├── conn.php
│ ├── css
│ │ ├── animate.css
│ │ ├── bootstrap.min.css
│ │ └── unicorn.login.css
│ ├── img
│ │ ├── logo.png
│ │ └── saturation.png
│ ├── loginout.php
│ ├── make.php
│ └── yaoqingma.php
├── adminpanel.sql
├── af89c2ab0ebed7db
│ ├── conn.php
│ ├── edit.php
│ ├── hack.php
│ ├── index.php
│ ├── liuyan.php
│ ├── makepage.php
│ └── style.css
├── index.php
├── show.jpg
└── test.sql
└── 攻击端
├── css
├── background.jpg
├── reset.css
└── style.css
├── font
├── loginform-icon.eot
├── loginform-icon.svg
├── loginform-icon.ttf
└── loginform-icon.woff
├── index.php
├── js
├── index.js
├── paths.js
└── prefixfree.min.js
├── put.php
├── put_liuyan.php
├── set.php
├── setting.php
└── store.php
/LICENSE:
--------------------------------------------------------------------------------
1 | MIT License
2 |
3 | Copyright (c) 2017 繁星科技_Wind Punish安全实验室_crown prince
4 |
5 | Permission is hereby granted, free of charge, to any person obtaining a copy
6 | of this software and associated documentation files (the "Software"), to deal
7 | in the Software without restriction, including without limitation the rights
8 | to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
9 | copies of the Software, and to permit persons to whom the Software is
10 | furnished to do so, subject to the following conditions:
11 |
12 | The above copyright notice and this permission notice shall be included in all
13 | copies or substantial portions of the Software.
14 |
15 | THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
16 | IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
17 | FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
18 | AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
19 | LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
20 | OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
21 | SOFTWARE.
22 |
--------------------------------------------------------------------------------
/MD_pic/OD连接.PNG:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/crown-prince/Newton_ODsystem/8a2b99b905f2054e350f07e1239ac8a6bd21f32e/MD_pic/OD连接.PNG
--------------------------------------------------------------------------------
/MD_pic/logo.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/crown-prince/Newton_ODsystem/8a2b99b905f2054e350f07e1239ac8a6bd21f32e/MD_pic/logo.png
--------------------------------------------------------------------------------
/MD_pic/展示端展示被黑效果.PNG:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/crown-prince/Newton_ODsystem/8a2b99b905f2054e350f07e1239ac8a6bd21f32e/MD_pic/展示端展示被黑效果.PNG
--------------------------------------------------------------------------------
/MD_pic/攻击端连接.PNG:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/crown-prince/Newton_ODsystem/8a2b99b905f2054e350f07e1239ac8a6bd21f32e/MD_pic/攻击端连接.PNG
--------------------------------------------------------------------------------
/MD_pic/点选动态.gif:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/crown-prince/Newton_ODsystem/8a2b99b905f2054e350f07e1239ac8a6bd21f32e/MD_pic/点选动态.gif
--------------------------------------------------------------------------------
/MD_pic/牛顿1.PNG:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/crown-prince/Newton_ODsystem/8a2b99b905f2054e350f07e1239ac8a6bd21f32e/MD_pic/牛顿1.PNG
--------------------------------------------------------------------------------
/MD_pic/牛顿2.PNG:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/crown-prince/Newton_ODsystem/8a2b99b905f2054e350f07e1239ac8a6bd21f32e/MD_pic/牛顿2.PNG
--------------------------------------------------------------------------------
/MD_pic/牛顿3.PNG:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/crown-prince/Newton_ODsystem/8a2b99b905f2054e350f07e1239ac8a6bd21f32e/MD_pic/牛顿3.PNG
--------------------------------------------------------------------------------
/MD_pic/牛顿4.PNG:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/crown-prince/Newton_ODsystem/8a2b99b905f2054e350f07e1239ac8a6bd21f32e/MD_pic/牛顿4.PNG
--------------------------------------------------------------------------------
/MD_pic/管理系统.PNG:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/crown-prince/Newton_ODsystem/8a2b99b905f2054e350f07e1239ac8a6bd21f32e/MD_pic/管理系统.PNG
--------------------------------------------------------------------------------
/MD_pic/邀请码.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/crown-prince/Newton_ODsystem/8a2b99b905f2054e350f07e1239ac8a6bd21f32e/MD_pic/邀请码.png
--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
1 | # Newton_ODsystem
2 | 牛顿信息安全攻防展示系统:Newton Offensive and defensive system
3 | 功能概述:攻击端一键完成攻击演示,展示端通过更直接的方式展现黑客攻击威胁,可自主增加相应漏洞
4 | >关于牛顿,我想说的一些话(非干货,可略过):在长亭陈宇森大牛的一篇见闻分享里,我记下了这样的一句话:未来的安全发展,要让不懂安全的人,快速搞清楚负责安全的人做了什么。由此,牛顿项目诞生了,定名为牛顿,是因为众所周知,牛顿是近代物理学的奠基人,因为他对万有引力和三大运动定律的描述,物理学走向了普及,世界加快了发展。希望牛顿项目,也能够继承这份责任,但牛顿项目只是一个小小的凸起点,期待和更多同志们,一起努力,安全任重道远,白帽子的名字,我们来定义。
5 |
6 |
环境:php 7 + mysql + windows
7 |
8 | ### 1.牛顿应用场景:
9 |
10 | - 企业安全部门成员向企业内其他部门成员、领导,展示黑客攻击的威胁,演示漏洞的危害,更好的促进企业安全发展
11 | - 信息安全专业人员,向非相关专业小伙伴展示漏洞的危害,进行信息安全知识科普
12 | - 安全产品销售人员更好的解读“安全”
13 |
14 | ### 2.牛顿界面初览:
15 |
16 | >攻击端(科技感风格):
17 | 
18 |
19 |
20 | >展示端提示页面
21 | 
22 |
23 | >展示端(偏向企业官方风格):
24 | 
25 | 
26 |
27 | ----
28 |
29 | ### 3.牛顿的功能解析:
30 |
31 | 展示端:以合适的可视化效果,展现黑客攻击的后果
32 | * 数据库存储信息、服务器信息统一展示在展示端首页,便于展示端了解相关信息
33 | * 邀请码生成系统(通过邀请码,连接众多独立展示系统与唯一的攻击端系统)
34 | * 各自独立的存在漏洞的展示端页面
35 |
36 | 攻击端:集成式一键模拟黑客攻击
37 | * sql注入演示
38 | * 存储型XSS演示
39 | * 环境配置(实现一个攻击端可以为展示端的多个独立系统,进行展示)
40 | * 自定义功能(可自主增加新的漏洞演示环境于系统中)
41 |
42 | 
43 |
44 |
45 | ### 4.牛顿的安装与配置:
46 | **展示端**:
47 | 为便于叙述,以下假定展示端IP地址为192.168.183.131, 数据库初始用户名、密码为root
48 | 1.将【展示端文件夹】下全部文件复制到php环境根目录中
49 | 2.在数据库中创建test和adminpanel两个数据库,并分别导入test.sql(建立漏洞环境)、adminpanel.sql(生成攻击端与展示端邀请码),之后删除两个数据文件
50 | 3.在Adminpanel/conn.php文件中配置数据库信息,在af89c2ab0ebed7db/conn.php文件中配置数据库信息 (样例如下)
51 |
52 | <
61 | 4.进入http://192.168.183.131/adminpanel/admin.php 管理系统,生成邀请码,初始用户为admin admin登陆码root
62 | 以后可以在管理系统中修改用户信息、多次生成邀请码
63 | 
65 | 
67 |
68 | 5.点击生成邀请码,将在展示端网站目录下生成独立的一套漏洞展示文件,假设当前邀请码为xa4yma2DI08gr5ldfK8fhLlAfLe4NI,展示端配置完成
69 |
70 | **攻击端**:
71 | 为便于叙述,以下假定展示端IP地址为192.168.0.103
72 | 1.将【攻击端文件夹】下全部文件复制到php环境根目录中
73 | 2.点击Start、点选环境配置,输入展示端域名/IP地址,以及展示端生成的邀请码之一
74 | 
76 | 3.出现配置成功字样,则以成功使攻击端、展示端建立了连接,可以开始相关演示了
77 |
78 |
79 | ### 5.牛顿的使用方式讲解:
80 | 以集成的SQL注入攻击为例:
81 | 展示端的(edit.php)编辑页面,需要登录才可以进编辑,但因为如下代码:
82 |
83 |
";
88 | exit('非法访问!');
89 | }
90 | $code = $_POST['code'];
91 | $username = $_POST['user']; //制造SQL注入条件
92 | $password = $_POST['password']; //制造SQL注入条件
93 |
94 | //检测用户名及密码是否正确
95 | $sql = "select * from sqltest where name ='$username' and password ='$password'"; //制造SQL注入条件
96 | $result = mysqli_query($conn, $sql);
97 |
98 | 导致了SQL注入漏洞的存在,攻击端通过(put.php)集成了完成注入、篡改网站页面的漏洞利用代码,通过点击攻击端【突破权限,修改页面】
99 | 按钮将直接完成攻击,通过点击【查看修改效果】按钮可以看到是否攻击成功,展示端(hack.php)页面可以看到已经留下了黑客攻击的信息
100 |
101 | 
102 | 
104 | ### License
105 |
106 | The MIT License.
107 |
108 | Copyright (c) 2017 繁星科技_Wind Punish安全实验室
109 |
--------------------------------------------------------------------------------
/展示端/Adminpanel/admin.php:
--------------------------------------------------------------------------------
1 |
6 |
7 |
8 |
9 | 请勿重复登录!
10 |
11 |
12 |
13 |
14 |
15 |
您已登录,请勿重复登录!邀请码管理
16 |
Copyright © 2017.环宇繁星科技有限公司Wind Punish安全实验室 All rights reserved.
17 |
