作者:mikawawa
今天看rss reader上又有几个好友发了一些关于flash封装js代码的相关文章。看完后,仔细琢磨了一下,感觉应该把一些TIPS发到blog上做个备份吧。
一、首先,咱们说说flash代码的保护。
关于这个问题,我觉得对swf进行加密混淆很关键,因为浏览器在浏览到swf文件后都会缓存到本地,所以被拿到样本也就不足为奇了。但是如果能对其进行必要的加密混淆,我相信对于大多数人来说想要看到完整的源代码似乎就变得非常困难了。网上的混淆加密工具很多,我这里给一个大家可以测试下:
http://doswf.googlecode.com/files/DoSWF4.0.2.exe
当然好的加密混淆工具也是非常难得,看大家怎么去找了。
阅读全文 »
作者:浅凝
很多时候对于开放1521端口的Windows下Oracle数据库服务器,因为大多存在默认低权限用户dbsnmp,或者人品爆发高权限的用户 (sysdba)是默认密码或弱口令,由此可以通过Oracle的一些提权漏洞获取Oracle的最高权限,直至得到系统的SYSTEM权限。
而 对于Linux下的Oracle数据库入侵,因为Linux下一般Oracle数据库都是以Oracle的独立用户在跑,所以无法获取到root权限。当 然很多WEB和数据库在同一服务器上的时候,可以导出WEBSHELL到WEB目录来获取权限。然而大部分的数据库都是独立跑在一个服务器上,以下用简单 的方式获取Oracle的shell,即采用nc反弹的shell的方式。
阅读全文 »
作者:open
简介:
..\OrcleScan\OracleScan.exe 主程序 MD5:67feed51ac4fee3c06cbb82beb274a21
..\OrcleScan\accounts.txt 账号密码字典(登陆时用 格式:账号/密码)
..\OrcleScan\passwords.txt 密码字典(破解HASH用)
..\Oracle9i\oracle9i310.msi Oracle9i客户端精简版(自带sqlplus界面版与命令行版) 这个有没有毒我可不能保证 自个在用
..\Video\OracleScanVideo.exe 演示过程
阅读全文 »
原创作者:oldjun
文章来源:http://www.oldjun.com/
注:本文已经发表在《黑客防线》2009年05期
ECShop 网店系统是一套免费开源的网上商店软件,无论在稳定性、代码优化、运行效率、负载能力、安全等级、功能可操控性和权限严密性等方面都居国内外同类产品领先 地位。ECShop网店系统只专注于网上商店软件的开发,因为专注所以专业,已成功为数以万计的企业和个人用户提供完美网上开店解决方案,成为目前国内最 受欢迎的网上购物软件之一。ECShop前段时间暴了个注入漏洞,但进了后台后怎么获取webshell,网上没有提及。
阅读全文 »
原创作者:oldjun
文章来源:http://www.oldjun.com/
注:本文已经发表在《黑客手册》2009年05期
本 文章无技术含量,只是提供一个思路,思路来源于前不久暴出的那个ewebeditor2.16版本的上传漏洞。对于过滤了单引号或者做了post防注入的 站点,此方法也无能为力了;但对于很多对登陆端没做处理的网站,此方法值得一试,尤其是你已经知道源码了却不能执行命令(ACCESS数据库)或者对方能 报错( MYSQL数据库)。
阅读全文 »
