来源:安全焦点
作者:yykingking (yykingking_at_126.com)
某些RK,木马会经常HOOK一些关键函数从而达到隐藏等目的,而相应的ARK检测软件也会通常会先恢复这些关键函数的HOOK(譬如利用硬盘文件恢复),然后再调用来检测RK,这样就可以检测出某些隐藏.下面就介绍利用调试器实现某些内核函数的HOOK.
Intel386以后的系列CPU增加了8个32位的调试寄存器,从Dr0到Dr7,方便调试使用.如果设置了相应的调试信息,在条件满足的情况下将会发生 1 号(DB例外)中断,CPU就会陷入中断例程,执行中断代码,我们的HOOK目的就可以通过这个实现.
首先看下面百度出来的对寄存器组的使用方法的解释:
这八个寄存器中由四个用于断点,两个用于控制,另两个保留未 阅读全文 »
by 云舒
2007-09-29
http://www.ph4nt0m.org
这篇文章主要是介绍一些如何进行中间人攻击,包括两部分,第一部分是伪造证书,第二部分就是中间人转发数据了。作为中间人之前,需要使用DNS欺骗将域名解析到中间人的机器上面。HTTPS中间人攻击对自己签发的证书比较有效,比如xfocus这样的。因为本来就会出现证书警告,而向yahoo,google等网站,是权威机构发布的证书,伪造了之后会出现安全警告,不过我想白痴的用户还是很多吧。另外,这种劫持是只能在用户端攻击用户的,和服务器没啥关系。
先说说伪造证书的方法。首先使用openssl来生成一个证书,我这里生成了一个example.crt和example.key两个,保护密码为 1234。然后连接到真实的HTTPS服 阅读全文 »
来源:IXPUB
四月份发现的,现在仍出来。
玩了有段时间了 嘎嘎。。。。
漏洞文件webmedia/common/function/xtree.asp
阅读全文 »
Tags: 0day,
VIEWGOOD,
视频点播,
远古
来源:P3r1li5h's blog
刚才在卫生间蹲着的时候突然想到这个问题,mysql5.x for linux下面有一个函数,可以帮助我们干很多事情,这个函数4。x下面貌似没,原来一直没发现,也没去查函数手册,就我自己的经验来写点东西。4,x的明天再看看函数手册,再装一个实验一下。
mysql 5.x里面引入了一个system函数,这个函数可以执行系统命令,当mysql以root登陆的时候,就可以利用这个函数执行命令,当然是在权限许可的范围内。
一般我们按照常规思路,搞到mysql的root密码之后,我们都会连接上去,创建一个表,然后outfile,搞到一个webshell ,然后提权如此这般。今天我们换一种方式。
按照上面的方法,我们需要知道web的绝对路径,当然这个很不好找, 阅读全文 »
Tags: Linux,
MySQL
文章作者:a11yesno
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
漏洞发现日期 05年某月
注:因为最近没怎么关注网络安全 凭记忆中貌似没人说过这个方法 所以放出来 不要拍砖我 thx!
原理很简单的啊 sam的 FV键值吧 重点如何躲过检测
一般的检测克隆帐号的都是检测 sam里面有没有相同的 FV吧 利用这个特性绕过检测吧 呵呵
步骤
1.net user allyesno freexploit /add&net localgroup administrators allyesno /add
2.clone allyesno->guest
3.delete allyesno sam FV (呵呵,这样就完成啦)
如此以来常规的检测工具就无法检测拉 嘎嘎。。
阅读全文 »
author: void#ph4nt0m.org
publish: 2007-09-27
http://www.ph4nt0m.org
maxthon2(遨游2) mxsafe.dll对网页木马的防护以及绕过
———————————————————————–
maxthon2启动的时候装载mxsafe.dll对一些api进行了hook.在浏览器里运行程序,如果这些程序不在其信任列表里面,就会蹦个框,要求允许/禁止.所以,大部分下载木马在启动的时候就被检测到了.
要知道mxsafe hook了哪些api. od maxthon.exe, bp WriteProcessMemory, 阅读全文 »
Tags: Maxthon
来源:5up3rh3i'blog
作者:superhei
pw6的一个url转跳[BUG?]
\hack.php的Codz:
阅读全文 »
Tags: PHPWind
作者:rabbitsafe&认真的雪
(文章已经发表于2006-4期的黑客防线)
转载请勿去掉版权标记,谢谢—-by rabbitsafe http://www.rabbitsafe.cn/ QQ:3818718
本次渗透是我和好友雪飘一起完成的,华夏黑客联盟是我的启蒙网站,很早我就想对它进行一次检测,但是一直没时间,今天终于有了一天的休息时间,便有了我们这次渗透。
旁注拿到webshell
下面开始我们的渗透之旅,华夏黑客同盟是老牌子的黑客网站,我想主站应该不会有什么漏洞,那我们还是旁注来完成吧,我先ping了主站的域名www.77169.com,返回219.147.204.245。下面打开名小子的旁注工具domain3.5,扫描这个IP绑定了多少个域名,(如图1)
阅读全文 »
Tags: 华夏黑客同盟