Kaspersky Lab 在线注册中心Key远程暴力破解漏洞
鬼仔注:kaspersky.zip
作者:3w417
Kaspersky 是一个俄罗斯杀毒软件专业厂商。
其产品采用租赁销售方式,即任何人只能购买一段时间的使用期限,超过使用期限后除非再次购买期限否则不可再使用其软件。具体表现形式为:用户购买软件后根据序列号到Kaspersky Lab站点(https://activation.kaspersky.com)下载证书,软件根据证书内加密的内容决定使用期限。
虽然出于安全原因,网站使用SSL加密,但是由于没有任何图像识别模块,很容易进行远程暴力破解。一旦破解成功,攻击者可以使用猜测到的正确Key下载证书,盗用使用期限。
由于Kaspersky的Key很长,本来想顺序猜测,但是算了下数目太大了,还是随机猜测,写了一个小程序一次生成1000个Key来猜。
POC:http://www417.googlepages.com/kaspersky.zip
(抱歉,没空间放工具,大家自己“翻墙”后下吧)
缺少了 libeay32.dll
之後我去google下載…都不能正常使用呢
http://gnuwin32.sourceforge.net/packages/openssl.htm
這裡有dll file下載..^^
都給其他人看的..不是給鬼仔你看..
鬼仔是个垃圾,只知道到处COPY人家文章,转过来还用GOOGLE ADSENSE赚钱,纯垃圾
@DrKN: 1、我是不是垃圾不是你说了算。 2、我COPY人家的文章有注明来源,也有遵守CC协议。 3、既然您说我是垃圾,那您没必要来我这里看,没人强迫您,谢谢。 4、我自己的站,我有权利选择是否放ADSENSE。
还有,干嘛要冒充你楼上的同学,既然来骂了就不要怕被知道是谁。
我觉得, 卡巴的系列号跟 xp的可能有部分一样.
就是说 0 跟o 1 跟l 某些字符不会用到.
createkey 这个程序是胡乱生成key的吧.
我昨天试了1000个..一个也没有…
单纯的curl 还是速度太慢了..至少得30线程….
@DrKN:虽然这是一个神圣的地方,但我还是要对你说一句文明的话:TMD,你不看,你滚蛋!
哇..怎麼有人冒充我來囉..
是不是我很有名嗎……-_-”
我剛看了還以為誰幫我改了我的評論囉…
很明顯的一點:我香港來的 用繁體的…冒充也給點智商
@kkf:createkey 的确是胡乱生成key的,这篇文章说的就是暴力破解key……,K8的key很长,顺序生成太多,只能胡乱生成之后猜测。