SSClone非ARP会话劫持原理分析
作者:robur
来源:CSNA网络分析论坛
前两天买的过期杂志上看到的一款软件,刚开始还没注意,后来就恨自己杂志买晚了。(今年3月份的《黑客防线》)
那个神奇的软件,就像我标题上说的,叫SSClone,解释起来就是:Switch Session Clone,也就是“交换机会话克隆”(纯字面翻译,纯的~ )。
这个软件有什么用?其特点就是可以不通过传统的ARP欺骗方法,来实现局域网内的会话监听、劫持、复制等操作。(其实这个软件本身是用来会话复制的,也就是拦截客户机发送给网关的数据包,如果拦截网关发送给客户机的数据包,那么就是会话劫持了。)
因为采用了非ARP欺骗的技术,结果不用测试都可想而知,所有的ARP防火墙都对它不起作用。(废话了,ARP防火墙就是拦截ARP的,没有ARP数据包有个鸟用啊,哈哈)
我以前用的LBS提供下载
以前有朋友曾经邮件给我,问我能否提供我当时在用的LBS下载(当然是不要数据库的),在我转换到WordPress之后,又有朋友要我把以前的风格放出来。
刚才整理了下,这里提供下载,部分说明:
阅读全文 »
php escapeshellcmd多字节编码漏洞解析及延伸
作者:T_Torchidy (jnchaha_at_163.com)
来源:安全焦点
漏洞公告在http://www.sektioneins.de/advisories/SE-2008-03.txt
PHP 5 <= 5.2.5
PHP 4 <= 4.4.8
一些允许如GBK,EUC-KR, SJIS等宽字节字符集的系统都可能受此影响,影响还是非常大的,国内的虚拟主机应该是通杀的,在测试完这个漏洞之后,发现还是十分有意思的,以前也有过 对这种类型安全漏洞的研究,于是就把相关的漏洞解释和一些自己的想法都写出来,也希望国内的一些有漏洞的平台能迅速做出响应,修补漏洞。
这个漏洞出在php的用来转义命令行字符串的函数上,这些函数底层是用的php_escape_shell_cmd这个函数的,我们先来看看他的处理过程:
阅读全文 »
对抗启发式代码仿真检测技术分析
作者:nEINEI
邮箱:[email protected]
完成于:08-05-06
来源:安全焦点
最近在研究病毒的检测技术,虽然在这个木马、流氓件猖獗的年代,检测技术(除了考虑效率因素外)已经变得不是十分重要了。但俺仍然出于兴趣想从这 里面寻找些思路。或许对抗技术的本身并不在于谁彻底打败了谁,而在于彼此间共同进步。在查阅资料中发现了这篇文章(Anti heuristic techniques author:Black Jack ),虽然是比较古老的,但还是可以从中获得很多新的思路。翻译的比较粗糙,如有不正确或不准确的地方还望大家指正,后面我会继续谈些对抗仿真技术的策略。 译文如下:
阅读全文 »
