鬼仔's Blog

作者：monyer

有个例子，我也不记得以前说过没有。

钓鱼式攻击是什么东西呢？其实很简单：

某人Email给你：给我500块，预知你的未来，可以提前通知你，明天国王跟火箭队的比赛，火箭队会赢！

你当然不信啦，但是第二天的比赛，火箭队真的赢了，你说：巧合，巧合而已。
阅读全文 »

下载地址1  Http://hash.0x54.com 铁通
下载地址2  Http://hash2.0x54.com 电信
备用地址1  Http://hash.t00ls.net 铁通
备用地址2  Http://hash2.t00ls.net 电信

# 鬼仔：帮茄子宝AD下。

网络攻防007——奇虎360软件安全竞赛
比赛规则及评分标准
比赛规则：
1. 所有题目一次性公布，选做一题即为参赛，参赛选手可以一次性提交选作各题答案，也可以逐次提交选作各题答案；
2. 答案提交至答案提交区http://www.debugman.com/thread.php?fid=27，以其它方式提交的答案为无效答案；
3. 每题仅能提交一次，请认真阅题，慎重提交。如多次提交，以第一次提交的答案为准；
4. 提交的答案须包括所有源代码；
5. 为避免重复参赛，答案主题须以如下格式命名：选作题号+论坛ID+真实姓名+联系电话。
阅读全文 »

Posted by CG

Thank MC for this one...

http://metasploit.com/users/mc/oracle9i/brute_login.rb

msf > use auxiliary/admin/oracle/brute_login
msf auxiliary(brute_login) > set RHOST 172.16.102.130
RHOST => 172.16.102.130
msf auxiliary(brute_login) > info
阅读全文 »

Tr4c3注：可以用来注射mssql 2005的工具
来源：二少

下载地址：_JCZ3.rar

作者：余弦

今天xKungfoo最后一天，G在上面做了个挂马产业链的议题。有些挂马猥亵技巧没有说详细，这里公开吧。其实有些没什么，就是技巧，有些人也玩过。

第一个、剪贴板劫持挂马

其实这是针对富文本编辑器的一种隐蔽的攻击方式，当你粘贴某段从别处拷贝来的文字时，就会执行一个iframe标签对象（富文本编辑器的性质），iframe加载网马。简单的demo：
阅读全文 »

作者：tombkeeper

加固保安全，改改更健康：
阅读全文 »

作者：余弦

CSRF蠕虫顾名思义就是利用CSRF技术进行传播的Web蠕虫，前段时间我的这篇文章《译言CSRF蠕虫分析》说明了CSRF蠕虫存在的事实，译言网站（以下称这样的宿主为victim_site）的这个CSRF蠕虫是由用户驱动的，蠕虫的代码都存放于另外一个网站上（比如worm_site），在victim_site上需要用户驱动的就一个链接http://worm_site/，该链接指向CSRF蠕虫本身。

CSRF蠕虫如何就是一个蠕虫？我们写的代码其实没有表现出一个蠕虫本身要具有的所有性质。在这，最关键要解决的就是CSRF蠕虫的传播性，基于用户驱动 的传播性（主动或者被动）。当它可以传播了，我们就可以考虑为它增加其它的功能，比如利用CSRF技术删除、编辑某些内容、增加新的内容、添加好友等等。
阅读全文 »