来源:http://isc.sans.org/diary.html?storyid=6730
Thanks to our reader Adam we received some additional information regarding recent ColdFusion hacks.
As I wrote in the previous diary (http://isc.sans.org/diary.html?storyid=6715), the attackers are exploiting vulnerable FCKEditor installations, which come enabled by default with ColdFusion 8.0.1 as well as some other ColdFusion packages.
阅读全文 »
漏洞攻击形势:
DirectShow 0DAY第二波爆发!!该漏洞在国内已经呈大规模爆发形势。至少有几千网站被挂上了该漏洞的网页木马!
漏洞攻击细节:
与第一波的DirectShow 0DAY 不同,这次的漏洞是DirectShow相关msvidctl.dll组件解析畸形MPEG2视频格式文件触发溢出,攻击者可以使用普通的javascript堆喷射方式远程执行任意代码。
阅读全文 »
作者:lcx
利用vbs创建注册表值较简单,创建注册表项的话,网上多是用wmi来,例如代码:
const HKEY_LOCAL_MACHINE = &H80000002
strComputer = "."
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
strComputer & "\root\default:StdRegProv")
strKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" ‘创建sethc.exe项
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath作者:lcx
今天研究了一下用户控制面板文件nusrmgr.cpl,发现调用的是Shell.Users来加用户,它还同时调用了 wscript.shell、Shell.Application、Shell.LocalMachine这三个组件。不过加用户的话,这一个 Shell.Users就足够了。那么可能在删掉了net.exe和不用adsi之外,这也可能是一种新的加用户的方法。代码如下:
阅读全文 »
# 鬼仔:誰在看我的噗?第一回:DOM沙盒 vs 跨網站腳本漏洞(XSS)
简体中文在这里。
来源:阿碼外傳
Web、HTML、CSS、各家瀏覽器,都在持續演進著,以資安的觀點來看,演進的過程中包含了許多為了修補當初不安全設計而做得努力。IE,現在已經到IE 8了。
本文續「誰在看我的噗?第一回:DOM沙盒 vs 跨網站腳本漏洞(XSS)」。
許 多朋友透過email/msn/plurk問我,這個攻擊為何說IE<=7才能觸發?其實這個問題不是三言兩語解釋得清楚,所以我只在文中寫IE& lt;=7,不想讓已經很長的一篇變得更長,但沒想到大家都很厲害,這個問題大家都還是問了。那我們就來談談,為何此攻擊IE<=7才能work 吧!
阅读全文 »
# 鬼仔:誰在看我的噗?第二回:IE執行模式 vs 跨網站腳本漏洞(XSS)
简体中文在这里。
来源:阿碼外傳
上星期天下午,下大雨,沒法出去,隨手開了Plurk,想到了Plurk之前公開的「XSS挑戰」,只要找到漏洞,證明並回報的噗友,就有Plurk hacker勳章可以拿,之前我也很快地寫了一隻蠕蟲demo並回報。(不用懷疑,當然沒有真的拿來使用)
開 了瀏覽器,沒有用什麼工具,就徒手在瀏覽器上玩來玩去,結果一下子,找到一個預存式XSS(stored cross-site scripting,因先儲存至預存式的資源譬如資料庫後再於取出時造成攻擊,又稱預存式XSS),寫了一小段poc程式,確定可以偷cookie,然後 又寫了一個蠕蟲的 poc 程式。原本想立刻把poc程式寄給Plurk回報,但又覺得這些東西沒什麼新意,這樣回報很無聊。可是那寫什麼demo來回報呢?
阅读全文 »
