分类 ‘技术文章’ 下的日志

迎新年放TOPHET DOC

2009/01/26 1:25 | 鬼仔 | 技术文章 | 4 个回复

作者:mj0011

Tophet是一类Bootkit/Rootkit技术的统称,Tophet.a是其第一代的范本

在XCON2008上我RELEASE了这一样本的相关技术:

(http://xcon.xfocus.net/)

其中涉及的隐蔽BOOT启动、对象劫持技术、磁盘保护穿透技术均是过去我在内核研究和对抗中处于兴趣编写和探究的。
阅读全文 »

Tags: , ,

Php168 v2008 权限提升漏洞

2009/01/26 1:15 | 鬼仔 | 技术文章 | 消灭0回复

by Ryat
http://www.wolvez.org
2009-01-25

简单分析下这个漏洞

common.inc.php

if($_SERVER['HTTP_CLIENT_IP']){
     $onlineip=$_SERVER['HTTP_CLIENT_IP'];
}elseif($_SERVER['HTTP_X_FORWARDED_FOR']){
     $onlineip=$_SERVER['HTTP_X_FORWARDED_FOR'];
}else{
     $onlineip=$_SERVER['REMOTE_ADDR'];
}
$onlineip = preg_replace("/^([\d\.]+).*/", "\\1", filtrate($onlineip));
//这个地方使用preg_replace存在着安全隐患,之前就暴过漏洞,官方修补的方法是用filtrate函数处理了下$onlineip

阅读全文 »

Tags: , ,

攻防技术融入IPS 之 协议分析

2009/01/26 1:03 | 鬼仔 | 技术文章 | 消灭0回复

作者:xushaopei

1 AIM ==== ^(\*[\x01\x02].*\x03\x0b|\*\x01.?.?.?.?\x01)|flapon|toc_signon.*0x
2 Apple Juice ==== ^ajprot\x0d\x0a
3 Ares ==== ^\x03[]Z].?.?\x05$
4 Battlefield 1942 ==== ^\x01\x11\x10\|\xf8\x02\x10\x40\x06
5 Battlefield 2 ==== ^(\x11\x20\x01…?\x11|\xfe\xfd.?.?.?.?.?.?(\x14\x01\x06|\xff\xff\xff))|[]\x01].?battlefield2
6 Battlefield 2142 ==== ^(\x11\x20\x01\x90\x50\x64\x10|\xfe\xfd.?.?.?\x18|[\x01\\].?battlefield2)
7 Border Gateway Protocol ==== ^\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff..?\x01[\x03\x04]
8 Chikka ==== ^CTPv1\.[123] Kamusta.*\x0d\x0a$
阅读全文 »

Tags: ,

53KF在线客服系统XSS漏洞(2009.1.19.漏洞首发)

2009/01/26 1:01 | 鬼仔 | 技术文章 | 消灭0回复

作者:xushaopei

关于53KF:

网上客服(WWW.53KF.COM)是国内领先的网站在线客服系统,由六度公司投资创办,致力于成就国内最大的网页对话工具提供商。已经有22万网站用户在使用53KF系统。

漏洞描述:

在使用53kf即时通讯系统时,服务端对发送的消息都没有进行严格过滤,导致用户在发送数据过程中可以精心构造代码进行跨站攻击。未经过滤的恶意代码发送到客户端时,可能导致在使用者的浏览器会话中执行任意HTML和脚本代码。
阅读全文 »

Tags: , ,

BPE32 多态引擎剖析

2009/01/20 13:24 | 鬼仔 | 技术文章 | 1 个回复

autor: nEINEI
e-mail: [email protected]
date:   2008-11-10

一 BPE32简介
二 技术细节分析
2.0 — 整体流程设计
2.1 — 随机数设计
2.2 — 代码加密方案
2.3 — 对抗VM的SEH设计
2.4 — 随机数生成与寄存器选择
2.5 — 垃圾指令生成方式
2.6 — 解密器设计
2.7 — 重建指令流程
三 代码解析
四 检测方案
阅读全文 »

Tags:

VMware漏洞实例分析之一 – 共享文件夹目录遍历漏洞

2009/01/20 13:22 | 鬼仔 | 技术文章 | 4 个回复

标题:VMware漏洞实例分析之一 – 共享文件夹目录遍历漏洞
作者:vxasm (mail: [email protected])
时间:2008-10-5

一 名词定义
Host机:运行VMware软件的真实主机;
Guest机:装在VMware软件中的虚拟系统;
后门:VMware有一套自己专有的“Backdoor I/O Port”指令,Host和Guest之间的所有数据都是通过一个固定的IO端口,使用in和out指令来进行传递,Guest就是通过这个端口发命令让Host帮助它完成某些自身不能完成的工作。
阅读全文 »

Tags: ,

构造无人之境: Exploiting Realtek RTL8139单芯片以太网控制器

2009/01/20 13:21 | 鬼仔 | 技术文章 | 2 个回复

作者:Azy
完成:2008-10-22

优良的rootkit(以下简写为rk)通常应该具备隐蔽稳定的通信功能。正如优秀的程序员一直追求用最简洁的代码完成功能需求一样,优秀的rk coder也一直秉承着绝不在rk中加入过多无用的远程命令,让rk尽量回归其原始定义–获得“root”权限的kit的宗旨。而如何实现隐蔽是rk通 信首先要考虑的问题。
因此,出现了各式各样的隐蔽隐藏技术。几年前的高级手段随着内核技术的公开与普及在时下被理所当然地判定为浅“藏”辄止,而时受深度检测工具干扰 的在内核级深藏不露的rk亦不能使rk coder感到一劳永逸。因为构造隐蔽通信中的无人之境才是他们永恒不变的追求。
阅读全文 »

Tags: ,

深入理解Linux内存映射机制

2009/01/20 13:19 | 鬼仔 | 技术文章 | 消灭0回复

Author: wzt
EMail: [email protected]
Site: http://www.xsec.org & http://hi.baidu.com/wzt85
Date: 2008-6-13

一. 绪 论
二. X86的硬件寻址方法
三. 内核对页表的设置
四. 实例分析映射机制

一. 绪 论
我们经常在程序的反汇编代码中看到一些类似0x32118965这样的地址,操作系统中称为线性地址,或虚拟地址。虚拟地址有什么用?虚拟地址又是如何转换为物理内存地址的呢?本章将对此作一个简要阐述。
阅读全文 »

Tags: ,