分类 ‘技术文章’ 下的日志

初探ActiveX类型溢出—PPlive 0Day

2007/10/24 12:21 | 鬼仔 | 技术文章 | 消灭0回复

来源:Bug Center Team
作者:Maple-x

影响版本:
pplive 1.8beat2

有问题的dll:
MngModule.dll 1.7.0.2

未影响版本:
还没吧。:-)

分析:
以下是在luoluo的协助下分析的,基本属于luoluo语录。:)
给出分析过程,给和我一样刚接触溢出一点漏洞分析的思路。

阅读全文 »

Tags: ,

简单认识Anti-RootKit

2007/10/24 10:19 | 鬼仔 | 技术文章 | 消灭0回复

作者:single
来源:安全焦点

现在RK(rootkit)和ARK(anti-rootkit)的斗争已经进行了很久,在印象中最早出来的ARK工具是冰刃(IceSword),从冰刃开始出来到现在RK和ARK的斗争一直在继续,目前冰刃还是在流行当中,自己感觉也正是冰刃的出来才带动了当前流行的RK和ARK的斗争呵呵,现在很多病毒木马已经广泛的带有驱动,使用一些RK的技术和方法使自己更底层些更强大些,当前流行的ARK工具主要包括:隐藏进程检测,内核驱动检测,SSDT检测,代码HOOK检测,注册表隐藏的检测,隐藏文件的检测等一些功能的,下面谈谈自己对一些功能的简单愚见 嘻嘻。

关于进程检测:其实最早在R3下隐藏进程的方法已经很早开始流行起来被用到各种软件上来,在R0下如断ActiveProce 阅读全文 »

Linux2.6内核进程创建过程分析

2007/10/24 10:16 | 鬼仔 | 技术文章 | 消灭0回复

来源:安全焦点

/*Kernel version: linux-2.6.22.9
*作者:旋木木
*日期:2007/10/17
*E-mail:[email protected]
*/
Fork的系统调用代码在linux/arch/i386/kernel/process.c中:
asmlinkage int sys_fork(struct pt_regs regs)
{
return do_fork(SIGCHLD, regs.esp, &regs, 0, NULL, NULL);
}
Sys_fork系统调用通过 do_fork()函数实现,通过对do_fork()函数传递不同的clone_flags来实现fork,clone,vfork。
Syn_clone和syn_vfork的系统调用代码如下:
asmlinkage 阅读全文 »

Tags:

利用BCB自己打造QQ炸弹

2007/10/22 10:53 | 鬼仔 | 技术文章 | 消灭0回复

来源:灰狐's Blog

注:本文已发表在2007年《黑客防线》第10期,版权归《黑客防线》所有。

俗话说的好啊:不会编程的黑客就不是好黑客(我会编程,但我也不是黑客,因为我是个——程序员,哈哈)。今天呢我们就来亲自动手打造一个专属于自己的小工具。
我们要做的是一个QQ炸弹,这年头用QQ的人实在多。这林子大了可是什么鸟都有,当然其实我们今天做这个工具的威力并不是很大,顶多只能和好友聊天的时候骚扰一下。思路很简单,就是通过程序不停地模拟按键Ctrl+Enter自动发送消息,不过当我们做成的时候心里自然也会有那么一种满足和喜悦。
编程工具的选择其实很重要,像这样的小东东如果用VC来做那真不是一般地麻烦,什么?你说delphi很快?那倒是,不过会pascal的肯定没会C 阅读全文 »

Tags: ,

Adobe pdf reader URI利用方式浅析

2007/10/22 10:26 | 鬼仔 | 技术文章 | 消灭0回复

来源:大能寺

poc有人已经公布了.利用方式基本上清一色的tftp,tftp利用起来有限制,防火墙的因素.那么简单说说另外一种利用方式–捆绑exe生成并执行.
首先这个漏洞可以执行任意命令.我没试过直接在mailto那里直接echo exe.貌似好写很多行&哦.这样太疯狂.
在PDF格式中第一行必须有%PDF-1.7%.这个跟jpg,gif没什么区别.如果没%pdf-1.7%,那么adobe reader提示是无效pdf.
关于PDF的详解情况,可以参见(http://www.adobe.com/devnet/pdf/pdf_reference.html).

这里牵涉到另外一个知识点.copy +b来合并文件.这样子合并一个exe和jpg,exe和jpg都能执行.
好,那写段脚本,vb 阅读全文 »

Tags: , ,

说说session

2007/10/20 12:16 | 鬼仔 | 技术文章 | 消灭0回复

作者:云舒

这几天mail list在讨论跨站获取cookie然后登陆网站的事情,昨天下午也发了一些邮件。后来看到还是有人理解不正确,而我刚好又网络坏了,发布出去邮件,快憋死了。今天早上一大早到公司就回复邮件,看来我这性子还真要改改。这里把我发的邮件贴出来,权当笔记了。下面是今天回复的邮件全文。

真的是怒了,昨天到今天一直都在说session,而且大多数是在造谣。昨天网络不通,发不出邮件,差点被憋死了。今天网络貌似不错,我来说说session,以后别老造谣了。

首先,session是由语言实现的,与web服务器无关,比如php的session是php语言实现的。

其次,session的内容是保存在服务器上面的,但是大家都知道session 阅读全文 »

Tags:

一个不为人知的感染几百万校内网用户的蠕虫分析

2007/10/20 9:12 | 鬼仔 | 技术文章 | 消灭0回复

文章作者:langouster
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

在一次查看校内网网页源程序的时候无意间发现一个校内蠕虫,开始还以为是我的网页有问题,就随便打开几个人的页面查看,发现许多人的页面上也有这段代码。
阅读全文 »

Tags: ,

对黑客风云网站的一次渗透经过

2007/10/20 8:30 | 鬼仔 | 技术文章 | 消灭0回复

文章已发表黑客X档案2007年11期 转载请著名
文章作者:小志& 伤心的鱼[SST

正文:

最近无聊的要命每天都无聊的过日子,正好这天无意中逛到了黑客风云的论坛。想想当初自己也在这做斑竹学技术呢,呵呵,既然没什么事,就免费的给他们做下检测吧(小编注:貌似有那么一点‘恩将仇报’的感觉)。于是乎拉上小志操起啊D,就准备战斗了……

首先打开百度搜索“site:05112.com”,我的习惯是渗透一个站之前总喜欢看看这个站的信息。大概找到54000多条信息,看了下风云主站全是 HTML的连接,论坛用的是PHPWind,貌似俺也没有PHPWind的0day。另外像这种黑客站点肯定不会有什么注入上传之类的。虽然知道他后台用的是动易系统,直接在地址后加上admin/admin_login.asp, 阅读全文 »

Tags: