分类 ‘技术文章’ 下的日志

借”3168a网马”案例来分析所谓的自写函数加密解密网马

【文章标题】: 借"3168a网马"案例来分析所谓的自写函数加密解密网马
【文章作者】: T4nk
【作者邮箱】: [email protected]
【作者主页】: http://www.upx.com.cn

事出有因:某天 客户公司内网中毒 经过捉包一查

为http://ora点3168a点com//s368%5C/NEwJs2.js

里面包含 MS06-014 讯雷 网马

其实整个解密过程相当简单(之前有说明过 所以不再…)

其中有个网马加密原型如下:

#1号—————
<html><head><Meta Name=TestName Content=Test>
<noscript><iframe></iframe></noscript><script language="javascript"><!–
阅读全文 »

Tags: ,

入侵oracle数据库的一些心得

鬼仔注:关于入侵oracle方面的文章现在不多。
最近网络出问题,更新不及时。

软件作者:pt007[at]vip.sina.com版权所有,转载请注明版权
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
一、先看下面的一个贴子:

Oracle数据库是现在很流行的数据库系统,很多大型网站都采用Oracle,它之所以倍受用户喜爱是因为它有以下突出的特点:

1、支持大数据库、多用户的高性能的事务处理。Oracle支持最大数据库,其大小可到几百千兆,可充分利用硬件设备。支持大量用户同时在同一数据上执行各种数据应用,并使数据争用最小,保证数据一致性。系统维护具有高的性能,Oracle每天可连续24小时工作,正常的系统操作(后备或个别计算机系统故障 阅读全文 »

Tags:

风迅注入0day

来源:ReJeCt's Blog

user/buybag.asp
40行开始
if request.Form("action")="makeorder" then
Dim productIDS,OrderRs,BagRs,OrderDetail,OrderNumber,ExpressCompany
productIDS=DelHeadAndEndDot(request.Form("productIDS"))//这个函数功能是去掉头尾的逗号
Set OrderRs=Server.CreateObject(G_FS_RS)
Set BagRs=Server.CreateObject(G_FS_RS)
Set OrderDetail=Server.CreateObject(G_FS_RS)
OrderRs.open 阅读全文 »

Tags: , ,

php代码不开源下的一种漏洞检测思路

来源:安全焦点
作者:T_Torchidy (jnchaha_at_163.com)

现在很多的php软件厂商为了一些目的都开始将自己的产品用Zend加密起来,当客户使用的时候根本不知道程序里面的细节,的确给那些搞安全的人很大的难度,所以一些厂商就开始认为只要是Zend过的产品都是安全的。但是其实不然,即使在不知道原代码并且不考虑Zend破解的情况下,我们一样可以利用 Php本身的一些特性来到达获取程序的一些商业逻辑以及信息以到达探测程序的漏洞等等。
测试程序的安全性方法一般有三种,第一是完全的不知道源代码,不知道程序内部处理的细节,完全靠输入的参数来猜测程序内部的细节以及可能出现的问题,另外一种就是能得到程序的代码知道代码的处理流程,通过对代码的分析来得到程序的问题。还有另外一种 阅读全文 »

解析arp病毒背后利用的Javascript技术

请大家转载的时候注明引用出处(http://blog.csdn.net/michael_veking)以及作者信息(veking),谢谢!

本文的目的是探讨JS相关技术,并不是以杀毒为主要目的,杀毒只是为讲解一些JS做铺垫的,呵呵,文章有点长,倒杯咖啡或者清茶慢慢看,学习切勿急躁!

最近公司的网络中了这两天闹的很欢的ARP病毒,导致大家都无法上网,给工作带来了很大的不方便,在这里写下杀毒的过程,希望对大家能有帮助!

现象:打开部分网页显示为乱码,好像是随机的行为,但是看似又不是,因为它一直在监视msn.com,呵呵,可能和微软有仇吧,继续查看源代码,发现头部有一个js文件链接—-<script src=http://9-6.in/n.js></script>;

阅读全文 »

Tags: ,

富文本编辑器的跨站脚本问题参考

原始出处:http://s0n9.blog.sohu.com/59791222.html
文章作者:茄子宝

富文本编辑器是一个开放式的HTML内容编辑环境,必须实现文字样式、链接、图片等功能的HTML,所以用户POST的内容必须含有HTML标签,但是任由用户输入各类HTML标签,会造成一些潜在的恶意脚本攻击,借这类情况正好分析出现XSS的情况,主要针对IE浏览器.
阅读全文 »

Tags:

动易2006_SP6最新漏洞得到管理员密码

鬼仔注:从7j那里看到的,并且有7j写的接收页面。

7j:没有找到他说的接收页面,只有自已用PHP写个了
阅读全文 »

Tags: ,

小谈RADMIN

转载请保留版权信息!谢谢合作!
by NetPatch
welcome www.nspcn.org and www.icehack.com

最近做渗透测试时常碰到RADMIN一类的东西..
一碰到此类的程序,一般我都会先看下对方把RADMIN的端口配置成什么..以及相应的PASS(加密过的)
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter //默认密码注册表位置
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Port //默认端口注册表位置
//把海阳读出来的,用逗号格开,然后用下面的代码转换就可以了

阅读全文 »

Tags: