鬼仔's Blog

作者：lcx
来源：vbs小铺

测试此网马不必要装access，只需单独装一个SNAPVIEW.EXE就可以测试（微软有下），不过我没有找到这个控件的可执行的方法，只能将网马的exe用js判断系统的语言选项后放在启动项里。装ACESS的用户要小心了。下边是我eXeScope 找到此此ActiveX的Property和Method。
阅读全文 »

作者：racle
来源：天阳网络技术论坛

手记:
------------------------------------------
首先必须感谢的X.G.C.Team的OPEN在几个关键的地方给予我分析,解决办法的帮助.与及咱们论坛好几位兄弟的帮助.最终我才把这个东西给分析出来..
------------------------------------------
最近FLASH出了几个0DAY,论坛也帖了相关的新闻信息(请见:http://bbs.tian6.com/viewthread.php?tid=4434&extra=&page=1).我也约在5天前开始对此进行研究.我记得同时间邪恶八进制也有人开始同样的研究.到目前为止,该0DAY可以影响到90.115这个版本.而邪八那边的研究,先在两天前宣布成功完成.这又给我带来不小的压力..
阅读全文 »

鬼仔注：昨天发了open写的Flash 0day生成器，当时忘了说了，是在赏月那里看到的。结果今天open跟我说发出来之后，好多人找他问修改方法，所以就有了现在这篇文章。

来源：open's blog

鬼仔网站上公布了生成器。在这我就粗略说一下
把那个ODAY的网址改为明文的方法。
以我BLOG所上传的样本为例：
定位到文件的FD位置后。把它改为51
之后的下载网址你想改啥就啥
阅读全文 »

鬼仔：也就是这个了，open写的。

下载地址：flash0day.rar

鬼仔注：据说是Flash Player ActiveX 9.0.115以下版本。

来源：知道安全
发布日期：2008-5-26
最后更新日期：2008-5-26   17：37（GMT）

最近几天拦截到利用Adobe Flash Player SWF文件漏洞的网马，该网马通过网页加载一个正常的FLASH文件，再在那个FLASH文件里调用嵌入恶意构造的FLASH文件，这时会导致溢出，从而可能执行任意指令。以下为调用页内容：
阅读全文 »

鬼仔注：这个漏洞。

这个漏洞参考http://www.milw0rm.com/exploits/5619

Author: Greysign
2008-5-24
http://www.scanw.com/blog

哈哈。标题吸引吗。
修改代码请注意不能使用双引号"，注意不能跨域，还有一些其他零碎的问题自己调试吧。
这个漏洞执行后可以远程下载任意文件并执行。
第一次写网马，只好拿鸡PP搓成鸡胸，这样垃圾的漏洞才能放出来~哈哈。
阅读全文 »