分类 ‘技术文章’ 下的日志

简析利用调试寄存器实现内核函数的HOOK

2007/09/30 9:21 | 鬼仔 | 技术文章 | 消灭0回复

来源:安全焦点
作者:yykingking (yykingking_at_126.com)

某些RK,木马会经常HOOK一些关键函数从而达到隐藏等目的,而相应的ARK检测软件也会通常会先恢复这些关键函数的HOOK(譬如利用硬盘文件恢复),然后再调用来检测RK,这样就可以检测出某些隐藏.下面就介绍利用调试器实现某些内核函数的HOOK.

Intel386以后的系列CPU增加了8个32位的调试寄存器,从Dr0到Dr7,方便调试使用.如果设置了相应的调试信息,在条件满足的情况下将会发生 1 号(DB例外)中断,CPU就会陷入中断例程,执行中断代码,我们的HOOK目的就可以通过这个实现.

首先看下面百度出来的对寄存器组的使用方法的解释:

这八个寄存器中由四个用于断点,两个用于控制,另两个保留未 阅读全文 »

如何进行https中间人攻击

2007/09/29 11:26 | 鬼仔 | 技术文章 | 2 个回复

by 云舒
2007-09-29
http://www.ph4nt0m.org

这篇文章主要是介绍一些如何进行中间人攻击,包括两部分,第一部分是伪造证书,第二部分就是中间人转发数据了。作为中间人之前,需要使用DNS欺骗将域名解析到中间人的机器上面。HTTPS中间人攻击对自己签发的证书比较有效,比如xfocus这样的。因为本来就会出现证书警告,而向yahoo,google等网站,是权威机构发布的证书,伪造了之后会出现安全警告,不过我想白痴的用户还是很多吧。另外,这种劫持是只能在用户端攻击用户的,和服务器没啥关系。

先说说伪造证书的方法。首先使用openssl来生成一个证书,我这里生成了一个example.crt和example.key两个,保护密码为 1234。然后连接到真实的HTTPS服 阅读全文 »

远古VOD 0day

2007/09/28 12:30 | 鬼仔 | 技术文章 | 1 个回复

来源:IXPUB

四月份发现的,现在仍出来。

玩了有段时间了 嘎嘎。。。。

漏洞文件webmedia/common/function/xtree.asp
阅读全文 »

Tags: , , ,

linux下mysql 5.x得到root密码后的另外一种利用方式

2007/09/27 2:06 | 鬼仔 | 技术文章 | 1 个回复

来源:P3r1li5h's blog

刚才在卫生间蹲着的时候突然想到这个问题,mysql5.x for linux下面有一个函数,可以帮助我们干很多事情,这个函数4。x下面貌似没,原来一直没发现,也没去查函数手册,就我自己的经验来写点东西。4,x的明天再看看函数手册,再装一个实验一下。

mysql 5.x里面引入了一个system函数,这个函数可以执行系统命令,当mysql以root登陆的时候,就可以利用这个函数执行命令,当然是在权限许可的范围内。

一般我们按照常规思路,搞到mysql的root密码之后,我们都会连接上去,创建一个表,然后outfile,搞到一个webshell ,然后提权如此这般。今天我们换一种方式。

按照上面的方法,我们需要知道web的绝对路径,当然这个很不好找, 阅读全文 »

Tags: ,

说一个隐蔽克隆帐号的方法

2007/09/27 2:04 | 鬼仔 | 技术文章 | 1 个回复

文章作者:a11yesno
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

漏洞发现日期 05年某月

注:因为最近没怎么关注网络安全 凭记忆中貌似没人说过这个方法 所以放出来 不要拍砖我 thx!

原理很简单的啊 sam的 FV键值吧 重点如何躲过检测
一般的检测克隆帐号的都是检测 sam里面有没有相同的 FV吧 利用这个特性绕过检测吧 呵呵

步骤

1.net user allyesno freexploit /add&net localgroup administrators allyesno /add
2.clone allyesno->guest
3.delete allyesno sam FV (呵呵,这样就完成啦)

如此以来常规的检测工具就无法检测拉 嘎嘎。。
阅读全文 »

maxthon2(遨游2) mxsafe.dll对网页木马的防护以及绕过

2007/09/27 2:00 | 鬼仔 | 技术文章 | 消灭0回复

author: void#ph4nt0m.org
publish: 2007-09-27
http://www.ph4nt0m.org

maxthon2(遨游2) mxsafe.dll对网页木马的防护以及绕过
———————————————————————–
maxthon2启动的时候装载mxsafe.dll对一些api进行了hook.在浏览器里运行程序,如果这些程序不在其信任列表里面,就会蹦个框,要求允许/禁止.所以,大部分下载木马在启动的时候就被检测到了.

要知道mxsafe hook了哪些api. od maxthon.exe, bp WriteProcessMemory, 阅读全文 »

Tags:

pw6的一个url转跳[BUG?]

2007/09/25 1:34 | 鬼仔 | 技术文章 | 消灭0回复

来源:5up3rh3i'blog
作者:superhei

pw6的一个url转跳[BUG?]

\hack.php的Codz:
阅读全文 »

Tags:

华夏黑客同盟的陷落

2007/09/24 8:07 | 鬼仔 | 技术文章 | 2 个回复

作者:rabbitsafe&认真的雪

(文章已经发表于2006-4期的黑客防线)

转载请勿去掉版权标记,谢谢—-by rabbitsafe http://www.rabbitsafe.cn/ QQ:3818718

本次渗透是我和好友雪飘一起完成的,华夏黑客联盟是我的启蒙网站,很早我就想对它进行一次检测,但是一直没时间,今天终于有了一天的休息时间,便有了我们这次渗透。

旁注拿到webshell

下面开始我们的渗透之旅,华夏黑客同盟是老牌子的黑客网站,我想主站应该不会有什么漏洞,那我们还是旁注来完成吧,我先ping了主站的域名www.77169.com,返回219.147.204.245。下面打开名小子的旁注工具domain3.5,扫描这个IP绑定了多少个域名,(如图1)
阅读全文 »

Tags: