软件作者:凋凌玫瑰[N.C.P.H]
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
这是前天我写于我blog的一篇文章,是一种传统的渗透方法,没有什么新的技术,但我觉得思路有必要给大家分享一下,还有一点就是实现了pcanywhere的cif文件替换登录.
前几天搞一个台湾一个排名两千多的站点,花费了不少时间,本以为是没戏的了,结果今天上肉机一看,跑了一周多的hash竟然跑了出来.然后接着搞了下去.
最重要的经验就是我们要有一个思想:管理员怎么进去的,我们就怎么进去.
这个站的渗透也比较慢长,花了一周多的样子.网站很偏僻的地方存在一个注入点,是db权限的,很遗憾不是sa的,但是不能列目录,还好可以猜解管理员的密码,在adminlogin表中得到了管理员的密 阅读全文 »
来源:x140yu
原理:用ASP实现反向连接,客户端shell.exe大小6K,控制端console.asp大小1.75K
详解:
灵感来自在入侵渗透内网时需反向连接但没有公网IP的时候,想到ASP的Application对象功能之强大,所以产生以下想法
肉机执行程序shell.exe让cmd.exe与偶网站一ASP程序进行交互,实现控制
Application("output")为输出流,保存程序执行结果
Application("input")为输入流,保存要执行的命令
思路:
[Client] <—–> [Control] <—–> [Attacker]
Client上运行shell.exe,Control运行co 阅读全文 »
Tags: 远程控制文章作者:Asm
信息来源:邪恶八进制信息安全团队
注:代码采用MASM32格式编写,全部测试通过--嘿嘿,不通过的代码不敢发布误人子弟^_^
写这篇文章的目的是回顾一下这几天关于探究木马生成技术的过程.在我学习中,很多人给了我帮助,男女都有,有火狐的,有邪恶八进制的,红狼的,在此感谢 ^_^
在网上这样的文章貌似已经泛滥了,当时作者们都是没有给出完整代码,或者他们给的代码无法编译等等,有可能误导了别人.这篇文章是我切身的学习过程,既然我掌握了这个泛滥的技术,也厚着脸皮写出来,希望能对你们有用..
首先我们看一下第一种方法,也是一种很简单的方法,就是在内存中直接对这个服务端进行操作,把你的URL替换掉这个程序原先的字符串,例如:
文章作者:Asm
信息来源:邪恶八进制信息安全团队(http://www.eviloctal.com/)
进程守护技术?很简单,就是为了防止进程被结束掉,采用一些编程手段将进程保护起来,例如灰鸽子,它hook了api,或者注入其他的进程空间例如一般都喜欢注入explorer.exe(关于注入explorer.exe,我在邪恶八进制发表过一篇文章,就是注入explorer.exe)隐藏进程,达到隐蔽的目.就灰鸽子,使用了rootkit,但是我等菜鸟还不是很了解,更别谈利用编程手段来实现了 :)
如上的可以称做是“单进程”,很明显,双进程守护技术,就是两个拥有同样功能的代码程序,不段地检测是否对方已经被别人结束,如果发现对方已经被结束了,那么又开始创建对方。这样又能够让对方执行。有了原理,我们 阅读全文 »
文章作者:xyzreg [E.S.T]
信息来源:邪恶八进制信息安全团队
IceSword 的驱动对其自身进程做了保护,使恶意程序终止不了他。IceSword没有用HOOK SSDT的方法,不过也没用什么太BT的方法,而是Inline Hook了NtOpenProcess、NtTerminateProcess几个函数,即修改函数前5个字节,jmp到他自定义处理函数例程里。
终止采用这类保护方法的进程,可以使用暴力的PspTerminateProcess方法,PspTerminateProcess函数未导出,需要我们自己穷举特征码搜索来定位,或者硬编码之。当然,我们还可以恢复IceSword的Inline hook,还原被IceSword挂钩过的NtOpenProcess、NtTermin 阅读全文 »
Tags: IceSword信息来源:CN.Tink
文章作者:axis#ph4nt0m
目的:通过arp欺骗来直接挂马
优点:可以直接通过arp欺骗来挂马.
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码
但这样存在局限性:1.管理员经常不登陆,那么要很久才能监听到密码
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.
优点:1.可以不用获得目标主机的权限就可以直接在上面挂马
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.
阅读全文 »
来源:dream2fly
最基本的隐藏:不可见窗体+隐藏文件
木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。Windows下常见的程序有两种:
1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。
2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。
其中,Win32应用程序通常会有应用程序界面,比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为“隐藏”,这就是最基本的隐藏手段,稍有经验的用户只需打开“任务管理器”,并且将“文件 阅读全文 »
Tags: 木马来源:中国DOS联盟
作者:electronixtar
发一个短一点的帖子哈,今天讲hh.exe的undocumented parameter,hh不经可以用来看 .chm 文件,而且可以用来反编译deompile的~~命令如下:
HH.EXE -decompile <输出路径> <目标chm文件>
哈哈,好用吧~~而且连工程文件都一并decompile出来了哦~~比任何第三方反编译chm工具都好用,都权威哦,而且经测试,速度绝对一流!~~over…
Tags: hh.exe