安全
文章平均质量分 58
liswa
这个作者很懒,什么都没留下…
展开
-
杀毒后无法安装运行瑞星等杀毒软件的解决办法
最近学校流行一种病毒,中毒机器无法运行Icesword.exe、autoruns.exe和大部分的杀毒软件(够狠啊,要知道我平时手工查杀病毒都是靠这些家伙的),把这些文件的改名后就可以运行了,之前我一直以为是病毒程序一发现这些文件名就kill掉这些进程了。但是今天用icesword却没有发现有进程kill这些程序的痕迹,可见原理不是这样的。google后才知道根注册表有关,所以即使是清除病毒后这些原创 2007-09-30 12:41:00 · 2063 阅读 · 0 评论 -
一些SQL注入中的命令
1、加管理员exec master..sp_addlogin UserName,Passwordexec master..sp_addsrvrolemember UserName,sysadmin 2、加虚拟目录 http://abc.com/abc.asp?id=1;declare @s varchar(21) set @s=wscript.shelldeclare @o int原创 2006-06-16 10:02:00 · 1255 阅读 · 0 评论 -
错手把远程的一台mysql给关了
本来只是想测试下的,用了windows下的mysqlc.exe作为客户端,用了root权限连上去,可以显示出databases,但是其它所有select 语句都没有返回显示结果,后来找到一个windows下安装好了mysqld的机器(同时也安装了mysql客户端的),就可以显示所有数据了,真是奇怪!猜测可能是mysql版本的协议不同,导致那个mysqlc.exe工作不正常吧。 想原创 2006-06-14 15:03:00 · 743 阅读 · 0 评论 -
利用mysql上传和执行文件
本来一直以为利用mysql就只能导出webshell,但是前一段时间无意中发现了一篇文章《Windows下通过MySQL以SYSTEM身份执行系统命令》,于是再继续搜索了一下相关的文章。 其中上传文件是利用了mysql命令“SELECT * FROM mix INTO DUMPFILE c://abc.dll;”(以前导文本我都只是用select * from原创 2006-06-19 15:44:00 · 6944 阅读 · 0 评论 -
DVBBS 7.1 sp1有后台密码拿webshell
不小心得到一个没有更改数据库名的bbs站点,于是下载回来,通过log得到管理员的用户名和密码,(呵呵,比起MD5破解运算,这是个好办法),进后台后,下一个目标就是得到webshell了,先在网上搜索,网上的文章都说dvbbs 7.1 sp1在后台备份数据库的办法得到webshell时,dvbbs会检测待备份的文件必须是一个数据库格式的文件,否则就会出现提示不是数据库文件,无法备份。于是自己新建原创 2006-06-03 14:27:00 · 2357 阅读 · 0 评论 -
电脑报的HackGame,没意思
刚看到电脑报,说是HackGame开放了,于是上去看看,结果发现全是一些JavaScript的把戏,用Maxthon的ViewSource插件,就用一个Alert函数,轻松的用极短时间就通关了。没意思。惟一一个可能算是有难度的是swf的密码,可惜之前研究过这方面的东西,所以反而是最容易过的。地址:www.hackgame.cn,通关后是http://www.hackgame.原创 2006-05-31 10:50:00 · 1078 阅读 · 0 评论 -
不能过于信赖杀毒软件
本来就已经知道一些木马经过加工是可以逃避杀毒软件的了,不过昨天的测试却让我发现杀毒软件真的非常脆弱。 测试对象:WebAdmin by lake2 介绍: WebAdmin是一个运行在ASP.NET环境下的Web后门 测试环境:WINXP, Norton 9 企业版,病毒定义包: 2006-05-24步骤:直接把WebAdmin2X原件放在本地磁盘上,N原创 2006-05-31 09:36:00 · 1075 阅读 · 0 评论 -
某影视软件asp注册文件
分析了某影视软件。把asp文件放在其根目录下就可以了1.3版本的注册文件reg1.3.asp,这个会自动把注册码写入数据库中============================code start ===================================Function Getdiskid() on error resume next Getdiskid=md5原创 2006-05-24 14:53:00 · 1017 阅读 · 0 评论 -
对ServU本地提权原理的分析
以前一开始认为ServU本地提权也是像旧版本的远程攻击一样是使用溢出的,但后来看过php版本和aspx版本的本地提权代码后才发现,原来其实不是溢出,而是使用了ServU的本地管理员登录执行site exec 执行了系统命令的。由于一时找不到php版本的代码(而且似乎上次使用aspx版本的那个试验没有成功),于是稍微跟踪了下现成的su.exe,得到下面的命令,(其实实际上如果在本地telnet原创 2006-05-16 09:35:00 · 1446 阅读 · 0 评论 -
(广州)国际黑客防范技术高峰论坛主页还是被挂马了
看了http://news.csdn.net/n/20060923/95188.html ,说是(广州)国际黑客防范技术高峰论坛主页被黑了,抱着看看去的阴暗心理,我到google上查找了(广州)国际黑客防范技术高峰论坛主页的主页(http://www.hacker-halted.cn/),谁知一打开Noron立刻报告说发现病毒,呵呵,我晕,究意这主页还有没有人维护的?之前说被黑了被留了字,怎么今天原创 2006-09-23 21:46:00 · 8530 阅读 · 1 评论 -
发现最新的norton可以发现之前我查过的那个syssmss.exe了
今天早上回来,打开文件夹时,norton报告发现病毒,原来是我放在病毒样本文件夹里的那个syssmss.exe被查出了,而之前用norton和瑞星都没有报告说是病毒。 顺便上网搜索了下,发现syssmss.exe很早就已经说是病毒了,不过我碰到的这个是被别人作了处理的,所以之前norton发现了,5.1回来后便可以了。看来norton升级得倒还不差。原创 2006-05-08 15:12:00 · 801 阅读 · 0 评论 -
Adsutil.vbs 在脚本攻击中的妙用(转)
from:http://www.vshj.com/Article/2006/200602/Article_60017.htm作者:我非我 本文发表在2005.2期上.转载时请注明:简单介绍 adsutil.vbs是什么?相信用过IIS的网管员不会不知道。这是IIS自带的提供于命令行下管理IIS的一个脚本。位于%SystemDrive%/Inetpub/AdminScripts目录下。足足有转载 2006-06-17 08:03:00 · 1236 阅读 · 0 评论 -
Tomcat默认管理员密码为空时.......
电信的一台服务器,拿到了一个mssql的普通帐号,登陆进去后exec master.dbo.xp_dirtree c:/,1,1 ,发现上面还安装了mysql、tomcat、php等等一大堆东西,看来可能是一个用于开发人员做测试用的机器,mysql的密码似乎不为空,那就从Tomcat入手试下,使用http://target:8080,看到的是默认的Tomcat的界面,没有更改过,点击“To原创 2006-06-22 14:50:00 · 3532 阅读 · 0 评论 -
桃源网络硬盘.Net sql注入漏洞
从华军软件园上看到的, 不过我也找到了一个漏洞,呵呵来自: http://bbs.newhua.com/viewthread.php?tid=122026 本漏洞由 sky@黑客动画吧 版权所有,转载请保留出处发布时间:2007-05-18影响版本:桃源网络硬盘.Net所有版本详细说明:桃源网络硬盘.Net是一套可用于网络上文件办公、共享、传递、查看的多用户文件存储系统转载 2007-06-07 22:53:00 · 2104 阅读 · 1 评论 -
一段可能危险的asp.net代码
学习asp.net中看到这样一段代码,是下载文件用的,试了下觉得挺危险的,可能可以被非法利用。(当然还没有按我的想法去测试,因为我现在在手提上没有安装IIS,不知道能不能成功 )(因为在之前我没有怎么学习过asp.net,所以不知道这个问题在网上被讨论过了没有,如果已经被关注过了,勿笑)代码是利用System.Net.WebClient进行下载,但问题是下载过程可以完全后台实现原创 2007-05-20 22:31:00 · 1007 阅读 · 0 评论 -
利用dl函数突破disable_functions执行命令
来自:http://www.xfocus.net/articles/200704/915.html利用dl函数突破disable_functions执行命令创建时间:2007-04-19文章属性:原创文章提交:T_Torchidy (jnchaha_at_163.com)PHP是一款功能强大应用广泛的脚本语言,很大一部分网站都是使用PHP架构的。因为其提供了强大的文件操作功能和与系统交互的转载 2007-05-10 08:21:00 · 1707 阅读 · 0 评论 -
原来所谓的“黑客”已经堕落成这样了
机缘巧合,到了77169的网站,点开了论坛,惊奇地发现,所谓的黑客已经出乎我想像了。 新帖子里有一篇为:"766游戏官方被黑!(公布写漏洞资料) "的. 作者贴出了该站被黑的图片(目前来说这是司空见惯的了),末了还附带了包括用户名密码在内的该站的数据库连接信息。(令人心寒)。令人更为惊奇的是后面跟贴的原创 2007-04-25 00:40:00 · 1218 阅读 · 0 评论 -
《现代计算机》杂志网站被挂木马
近几天写论文,所以搜索了写杂志社网站,准备投稿。 google上搜索到“现代计算机 期刊”,搜索到的第一个是http_://www.mcpop.cn/ (为了防止网友不小心点击了链接,在http后添加了个_,下面相同),一打开IE防漏墙就报告网页企图执行a.exe,明显有问题。 于是简单分析了下页面。先用flashget下载主页面回来本地,ultraedit打原创 2007-07-02 20:52:00 · 1195 阅读 · 0 评论 -
How to execute system command in MSSQL
关键是最后面的可以以public权限执行xp_cmdshell(不过漏洞消息比较旧了,打了sp4的可能用不上了) 我是从http://www.hackhome.com/html/wlcl/hktk/2006/0730/50599.html 贴过来的,最初出处就不知道了 假设一台主机开了1433端口我们已通过SQL注入或是空弱密码远程连接能有哪些办法加一个系统管理员用户呢(或是执行系统命令)转载 2006-08-16 11:21:00 · 764 阅读 · 0 评论 -
倒,chinaitlab.com也放木马
为了避免大家直接点击进去了,我把网址最后的一个l去掉了http://linux.chinaitlab.com/kernel/398660.htm +l 刚才找linux资料访问到这个页面时,Norton报警了,用wiinsock expert分析了下,下回来http://www.zn360.com/tt/ufo.ht(我把网址后的m去掉了)一看代码,原来是这样的[code]f原创 2006-07-30 15:36:00 · 1039 阅读 · 0 评论 -
使用NetBox提权
呵呵, 最近收获了不少影视站点的webshell,但是某些站点的webshell权限较低,老是要提权太麻烦了,最近忽然想起它们是使用了NetBox做后台的,而一般情况下都是管理员执行NetBox程序的,这样如果使用NetBox执行了asp程序,那么webshell也应该是管理员权限。于是利用webshell往NetBox的根目录下写入一个asp webshell,再访问NetBox的后台站原创 2006-07-07 13:15:00 · 1237 阅读 · 0 评论 -
当servU提权遭遇到防火墙时
现在的多个使用 servU提权的现成工具,基本步骤都是先创建登陆本地servU管理端口(43958),之后进入特权模式,然后使用命令新建一个域,再在该域新建一个用户,该用户拥有可执行程序的权限,这样的流程通常程序下没有问题,但是如果 遇到对方主机有防火墙时就会出问题。前几天刚好遇到一台机器,使用aspx的servU提权文件,运行后总是到了新建域时就会出错,之再再登陆该新建域时,会提示“对方主机原创 2006-07-06 00:19:00 · 1592 阅读 · 2 评论 -
手工清除病毒一例
早上在一台机上遭遇了病毒。xp操作系统,用msconfig发现启动栏有很多可疑程序(例如命名是spoo1sv.exe之类的,现在看到了,反而更容易知道是有问题的程序了),开IE,发现速度极慢,而且无故多了个不可视的cmd进程,占用CPU资源80%,逐个结束了一些占用CPU资源高的程序,但仍然有些进程不可结束,于是用regedit和msconfig里把一些可疑程序取消,并记录下这些有问题的程序的路径原创 2006-05-08 15:05:00 · 1351 阅读 · 0 评论 -
在不支持FSO的服务器上使用XMLDOM创建HTML文件
原文应该是来自54NB,但是我是从http://down.dvbbs.net/infoView/Article_2921.html上找到的 在不支持FSO的服务器上使用XMLDOM创建HTML文件 日期:2004年8月13日 作者: 人气: 14778 今日:2转载 2006-04-27 08:27:00 · 752 阅读 · 0 评论 -
asp木马中的cmd执行
以前一直看不懂asp木马中的cmd命令执行。当时如果默认的系统是有可执行属性的话,肯定是不必修改,直接在命令行中写入命令即可,但是如果对方系统的cmd是没有权限的,这时需要我们上传一个cmd.exe上去,放置在可执行的目录下,再在asp木马中制定cmd.exe来执行,这时我就有点困惑了,因为它上面有可几个地方,一个说是路径,一个说是参数,一个说是命令(asp站长助手中只有路径和命令原创 2006-03-24 12:17:00 · 3452 阅读 · 0 评论 -
高校的网络安全令人担忧
自己本身就在高校工作,所以对高校本身的网络安全比较留意. 结果发现在广州比较有名的高校中,主站点还算安全,但到了各院系负责的子站点时,就出现了很多的问题.包括了省内有名的几间高校,都是有问题的.测试过程中,我也进入了几个高校的部分服务器,结果发现那些服务器早已被别人安装了不少后门,而且这些后门安装得也非常明显,但是却可以堂而皇之地长时间保留着.曾经在某著名高校的教务站点服务器上的D盘留下了叫原创 2006-01-15 15:11:00 · 1082 阅读 · 0 评论 -
计划自己写一个木马后门
用别人的木马后门总是会遭遇经常被查杀的后果,及时是做了免杀处理,但说不定明天又会被杀了(呵呵,再说我也不会做免杀),反正网上关于木马后门的技术已经流传得很多了,也有很多优秀的思想,所以很久以来都想着自己写一个后门程序,不在网上发布,按理说就不会被查杀了(我又不会到处黑机器,没有理由让杀毒软件盯上。)。还是打算用Delphi,毕竟太熟悉了,老婆劝我也要熟悉一下别的工具,的确很有道理,现在好像外面的公原创 2005-12-27 08:58:00 · 1827 阅读 · 2 评论 -
遇上mysql root 密码为空和frontpage extention漏洞(原创)
以前只在网上看到过介绍,想不到无意中被我碰上了。事因我很少使用扫描的,所以遇到的漏洞不多。这次刚好心血来潮扫了一个C段,就被我碰上了。是windows主机,但是安装了mysql,X-Scan报告了一些信息,其中有两个引起了我的注意。一种是mysql的root密码为空,一种是frontpage的extention漏洞。1、对于mysql中root密码为空: 使用mysql的连接器连接原创 2005-12-05 10:09:00 · 1400 阅读 · 0 评论 -
某大学教务网站的SQL注入[原创]
在之前因为没有做SQL过滤,被我警告过一次的了,后来应该是看到了提醒,所以基本上使用get提交参数和的地方都做了过滤了,(但是我上次留下的0x2001映射到C盘的虚拟目录还没有被删除,管理员真是大意啊!可惜的是只能浏览,没有写入等权限了——呵呵,下面有四六级考试的成绩打包,还有数据的内容,不过我对这些数据向来不怎么理会,也没有想过泄漏之类的),对于只有webshell这样的事情我也没有什么兴趣对于原创 2005-11-08 13:10:00 · 2434 阅读 · 0 评论 -
如何防止SWF文件被反编译?(转)
来源http://www.coreldraw.cn/blog/blogview.asp?logID=125这篇文章的标题所提出的问题的答案是“不可能”。至少对我来说是不可能的。借助适当的工具,我们可以反编译任何SWF文件。所以,不要将重要的信息置于SWF文件中。SWF文件中不要包含个人的帐号或者密码。 我将简要的论述“保护”技术的历史,和他们是如何失败的,接着我将说明我们能尽的最大努力。中国古语原创 2005-04-28 11:32:00 · 1246 阅读 · 0 评论 -
利用pipe执行远程机器命令的分析
标题:流光附带工具实现分析lcx 作者: Nemesis 当大家用流光发现一个空口令的administrator账户时,自然马上就会用 流光带的NTCMD.EXE在远程机器上执行命令。但是,大家有没有想过,到底 我们是怎样在远程机器上执行口令的呢?NTCMD.EXE都作了什么? NTCMD.EXE是一个console程序,执行的语法如下: ntcmd //IP -U:username -原创 2005-03-09 14:44:00 · 2891 阅读 · 0 评论 -
服务管理对应注册表的位置
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/DefWatch]"Type"=dword:00000110"Start"=dword:00000002"ErrorControl"=dword:00000000"ImagePath"=hex(2):43,00,3a,00,原创 2005-01-04 11:43:00 · 2702 阅读 · 0 评论 -
dvsp2上传漏洞再现----击溃动网sp2的神话 (转至Hoky Security Team)
dvsp2上传漏洞再现----击溃动网sp2的神话 (转至Hoky Security Team)dvsp2上传漏洞再现----击溃动网sp2的神话来自:TNT-B Security Team 这篇是 TNT-B小组贴在dvbbs上的一篇文章!原文见http://www.dvbbs.net/TNT-B/DVBBS.TXT 可能现在已经删了!hoho前段时间听说动网的上传再次出现了不可修复的错原创 2004-11-26 16:00:00 · 2011 阅读 · 0 评论 -
写了一个差异备份的工具
参考xiaolu的那个工具的说明写的。(找了几个站点没有下到他那个工具,所以就干脆自己写了个)界面丑陋,毫无章法,不过只用了几行语句,很容易就写成了。(这里好像不能上传文件吧)不过差异备份出来的文件用于jsp不行,郁闷。刚开始学jsp,也不清楚原因在哪里。是不支持别的字符集?原创 2006-02-16 17:31:00 · 971 阅读 · 0 评论 -
瑞星2006下载版跳过安装时的序列号检验
上www.rising.com.cn上可以下载到最新版的瑞星2006,但是安装时需要输入序列号,没有序列号就不能安装下去了。本文只是解除这个输入的检验,安装后不能网上升级,所以其实是对瑞星没有多大影响的,仅仅是研究罢了。 先把下回来的文件用winrar解压(其实是自解压文件来的),我是2006年4月17日下载的版本,用 win32dasm打开瑞星,使用字符串参考查找到字原创 2006-04-17 10:11:00 · 1129 阅读 · 0 评论 -
开3389的脚本
on error resume nextset outstreem=wscript.stdoutset instreem=wscript.stdinif (lcase(right(wscript.fullname,11))="wscript.exe") then set objShell=wscript.createObject("wscript.shell") objShell.Run(转载 2006-03-01 14:27:00 · 1355 阅读 · 0 评论 -
手动克隆隐藏帐号
以前按照xfocus的教程,克隆帐号时只能是偶尔成功,更多的是失败,这次参照的文章,发觉整个过程没有问题,而且克隆得出的是一个隐藏的帐号,不同于克隆guest用户(哪天站长心血来潮想想更改下guest用户,那么克隆出来的用户就over了),win2003下同样有效 参照的文章内容如下:如果你不小心留了点什么记录(比如有些人喜欢在运行那打命令),那样会很容易引起管理员发现.因此慎用克隆的转载 2006-03-01 14:26:00 · 1432 阅读 · 0 评论 -
发现学校的某系网站被人放了木马,跟踪!
本想远程解决一个服务器问题的,却发觉因为办公室的主机被我改了网关,没有办法远程连接,于是无意识的敲了学校主页的地方,然后又点击了某系的主页,打开发现是使用了动易系统。(这段时间帮朋友弄这个系统,算是有点认识了),看看地址栏,知道应该不是最新的版本,于是就到网上搜索了下看看有没有漏洞(那个朋友是个急性子,而且比较多疑,老是怀疑自己的系统被人黑,正好看看这个系统现在有没有出什么新漏洞)。发现最新的20原创 2006-03-07 23:17:00 · 1312 阅读 · 1 评论 -
告知教科办网页漏洞
在让学生宿舍和教科办的线路走局域网(不经电信直接到达),发现有登录框,尝试用 or = ,结果进入成功,说明存在注入漏洞。使用 or user=dbo, 登录成功,说明是使用sa用户连接;密码框中输入 ;exec master.dbo.xp_cmdshell ping 192.168.1.2;--,防火墙有反应,说明可以直接使用xp_cmdshell执行命令,危害极大。打电话原创 2006-03-31 00:19:00 · 856 阅读 · 0 评论 -
追查到的某网页木马代码
找一个很旧的软件的最新版本时,到其网页后因发觉自己的电脑中招了,我可是winxp+sp2,让其上网自动更新的啊,而且安装了Norton,照样让木马给运行了,后来分析,是一个魔兽世界的盗号木马,分析后清楚倒不难(讨厌的是,它居然试图注入了我的大部分在运行进程,累我电脑重启了)分析其网页代码,剥离解码后,得到的代码如下://=======================================原创 2006-03-31 22:26:00 · 1214 阅读 · 0 评论