高级恶意软件技术新挑战——突破主动防御

2007/11/04 10:33 | 鬼仔 | 技术文章 | 消灭0留言

文章作者:xyzreg
作者网站:http://www.xyzreg.net
信息来源:邪恶八进制信息安全团队(forum.eviloctal.com)

这是今年我在XCON2007(安全焦点信息安全技术峰会)所演讲的议题,现在提供ppt资料下载

议题介绍:

主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用,现有的后门木马、Rootkit等恶意软件面临严峻考验。无论传统的恶意软件功能有多强大隐蔽性有多高,初次安装以及工作时都会被主动防御功能拦截并提示用户,使其无法正常安装和工作。本议题阐述了主动防御技术的应用现状和原理,并深入 Windows系统内核详细讲解突破主动防御的各种方法和思路。

下载地址:xcon2007_xyzreg.rar

Tags:

SessionKeeper 0.1

2007/11/04 10:32 | 鬼仔 | 工具收集 | 消灭0留言

PST:云舒
http://www.ph4nt0m.org/
http://www.icylife.net/

这个是保持session并且作cookie欺骗用的工具,内置了一个浏览器,支持多域名多个被攻击的客户端,后台30秒请求一次目的页面,保持session不过期。需要注意的是,如果服务器web程序销毁了session,这样保持是没有意义的。我是用 .Net FrameWork 2.0写的,运行也需要.Net 2.0环境。

收集cookie的php脚本在本目录中,在被跨站的网页中,需要传递两个参数过来,x为cookie值,r为url地址,这个地址会被工具不停刷新保持状态。

我没有作详细的测试,不过代码我注释得很详细,有问题自己看着改吧。本代码以及修改版可以随意分发,但是不得用于商业用途。源代码下载地址为:
阅读全文 »

Tags:

Spirit2.Uploader Source:Anskya

2007/11/02 12:10 | 鬼仔 | 工具收集 | 消灭0留言

文章作者:Anskya

好久没有发贴了…最近感冒发烧,股票大跌,十七大召开,萨拉热窝交火,还有《学校的日子》结局引起大家争议,眼睛肿。。。
等等事情搞得自己灰心了

发个帖吧
还记得那个超小的RAT吗???1.37k的穿墙,Spirit系列是全世界最小的RAT
Spirit2=1775字节
Spirit3=1558字节
Spirit4=1400字节

反向连接,穿墙(特异功能.支持Win9x下穿墙.使用RT32_LIB注入引擎),现在贡献出来让大家赏玩。。。
希望可以结识更多喜欢ASM优化编程,和linux夸平台编程的朋友.
这个版本是Sp2—编译后体积1775字节
端口监听端口自己修改我懒得写生成器目前只有(代码有注释的)。。。nasm

不会玩masm32那么“高级”的东西,玩些低级货。。。
阅读全文 »

Tags:

DOM Based Cross Site Scripting

2007/11/02 9:51 | 鬼仔 | 技术文章 | 消灭0留言

作者:superhei

现在xss非常流行.而且跑xss的工具到处都是,导致就和sqlinj一样,很多大站 基本很难找到很明显的xss bug了,以往我们查找xss 一般都黑盒,而且效果很明显,对于白盒,一般都是基于Server language如[php/asp/jsp ….]查找变量输出语句如:print/echo ….等.

今天刚看看大牛Amit Klein在2005写[DOM Based Cross Site Scripting or XSS of the Third Kind]:http://www.webappsec.org/projects/articles/071105.html 提到的DOM的xss比上面提到的那些更加难以发现,就luoluo牛说的找基于dom的xss才是王道 :)
阅读全文 »

又见联众

2007/10/31 10:36 | 鬼仔 | 工具收集 | 才 1 条评论

来源:7jdg's blog

不知为什么联众一直没有更新
更新时间:2007年8月16日
版  本:2.7.0.8
这次是ConnectAndEnterRoom
shellcode换成了calc.exe有需要的自行更换
阅读全文 »

Tags:

风讯,科讯

2007/10/31 4:33 | 鬼仔 | 技术文章 | 才 1 条评论

来源:疯子

最近搞得火热。

风讯注入

这是一个简单注入。还有N(N大于17)个二次注入
科讯也有白痴漏洞

KS_Editor/InsertFunctionfield.asp

ID = Trim(request("id"))
Call Main
Call CloseConn
Sub Main()
Set rs=Conn.Execute("select * from KS_Label where ID='" & ID & "'")

看到这种漏洞都有,不想再看下去。
是另外一个疯子看出来的。

下面是风讯的,最新的官方下的

Tags:

最基本的QQ客户端:CQQClient初版

2007/10/31 4:18 | 鬼仔 | 技术文章 | 消灭0留言

来源:http://www.cppblog.com/simmy2/

到目前为止,我已经介绍了QQProtocol中代码的基本结构:
CQQUser存储一个QQ用户的所有信息,包括客户指定信息(用户名,密码等)和服务器返回信息(指在和服务器通讯过程中服务器“设置的”信息,如各种各样的密钥是在和服务器通讯过程中某些特定步骤由服务器生成并返回的,而还有些信息如服务器IP和端口则是最初由客户指定,但有可能因为服务器重定向而改变,等等等等)

CInPacket和 COutPacket是发送/接收包基类,CBasicInPacket/CBasicOutPacket是QQ基本协议族发送/接收包基类, CBasicFamilyParser是QQ基本协议族消息管理器,至于要和QQ服务器正常通讯,还要用“翻译”成QQ服务器的“语言”——由 CCrypter加密/解密包
阅读全文 »

Tags:

动易27个0day之一:vote.asp注入

2007/10/31 4:17 | 鬼仔 | 技术文章 | 消灭0留言

by:传说中的疯子

动易27个0day之一:vote.asp注入

本来动易只看到了26个。
但是现在外面竟然流传了一个我没发现的,痛苦中。
竟然连这么简单的漏洞都没发现。
今天听到这个文件有问题。
拿到组件调试一下:

以下是一些细节。
VoteOption参数注入(其他的参数就没看了)
他们先过滤了"–"再过滤";"

测试方法:
VoteOption的值为1=1 update PE_Admin set adminname=0x61-;-时,修改管理员的用户名。

Tags: , , ,