Blog

文章来自网络

 

　　对于TechRepublic成员来说，来自防火墙后面危险的网络威胁并不是一个新话题。随着无线网络的日渐普及，我相信这样的威胁载体是绝对应该引起更多的关注。
　　考虑到这一点，我向托马斯·威廉提出了一些问题，他在在本月初举行的Defcon17大会上展示了如何利用苹果iPod　Touch作为完整的黑客工具对无线网络进行攻击。我的问题威廉的答案和我的补充意见一起显示在文章的下面。
　　你也可以随时在讨论区发表自己的意见和想法。

　　问题：在主流媒体的报道中，并没有对你利用iPod　Touch侵入无线网络的详细步骤进行介绍。能详细说明一下么，为了实现这一目标，你都利用了哪些应用?
　　威廉：不幸的是，iPod　Touch的无线芯片不支持混杂模式，因此，用来攻击无线加密协议(WEP)和无线网接入保护(WPA)是不可能的，除非你只是打算在初始连接阶段对密码进行暴力破解，但是，如果iPod　Touch可以连接到需要使用用户名的网络上，举例来说，咖啡店、机场或旅馆中网络的话，iPod　Touch就可以通过伪装媒体存取控制(MAC)地址的方式冒充网络有效用户，对于网络网关来说，甚至情况可能更糟糕。
　　如果iPod　Touch被用于欺骗网络网关的话，所有的网络流量会被一个称之为pirni的工具所收集，并在稍后的时间利用象Wireshark之类的工具对包括用户名密码在内的敏感数据进行分析。为了实现实时数据收集，iPod　Touch上可以安装dsniff工具，从而可以实现对分析结果进行更迅速的响应。

　　马：对于受到良好保护的企业无线网络来说，iPod　Touch带来的威胁仍然是有限。但是，使用公司外部无线接入点导致的风险是真实存在的。因此，对于企业网络来说，在安全方面，加密的VPN连接应该是最低的要求，高层管理人员必须认识到这一点。

　　问题：为什么选择使用iPod　Touch?

　　威廉：从技术角度来说，iPod　Touch属于可以秘密安装的廉价触摸装置，举例来说，你可以把它安装在抽屉里、咖啡机的后面或者桌子的底部。此外，它采用的是兼容Uni ... Read more »

OldJun总结：
1.无论什么站，无论什么语言，我要渗透，第一件事就是扫目录，最好一下扫出个上传点，直接上传shell，诸位不要笑，有时候你花很久搞一个站，最后发现有个现成的上传点，而且很容易猜到，不过这种情况发生在asp居多！
2.asp（aspx）+MSSQL先考虑注入，一般的注入都有DBowner权限可以直接写shell；如果写不了，或者web与数据库分离，那就猜数据，从后台下手了，后台可以上传或者改配置文件；
3.asp（aspx）+ACCESS拿shell一般只有3种方法，一是前台上传或者注入进后台上传；二是注入进后台改配置文件；三是注入进后台备份数据库或者暴库后知道是asp或者asa数据库于是直接写一句话；
4.php+MYSQL 一般是注入进后台上传，偶尔运气好些权限够高可以注入select into outfile；然后包含，分本地与远程，远程包含在高版本php是不支持的，于是想办法本地上传图片文件或者写到log里；然后php程序某某未公开的 漏洞，运气好可以直接写shell。
5.jsp+MYSQL利用数据库拿权限方面基本同php，而且jsp的上传基本很少检查文件后缀，于是只要有注入点与后台，拿shell相当的容易。jsp+ORACLE的站我碰到的不多，碰到的也是猜出用户名与密码从后台下手的。
6.无论什么大站，主站一般都很安全（不然早被人玩了），于是一般从二级域名下手，猜出主站的某些用户名与密码或者搞到主站的源代码，或者旁注得到同网段服务器后cain或arp。
7.一般的大站很少有用现成的CMS的，于是如果你有幸找到源码，那你就发了，注入漏洞啊，上传漏洞啊，写文件漏洞啊，都掌握在你手里。多看看那些大站新出来的测试分站点，那些站还在测试中，可以很轻松拿下。
8.上传有个文件名截断，这包括2个方面，一是00截断，二是长文件名截断（曾经利用这个搞下hw）；然后很多写文件的地方，都可以00，屡试不爽。上传别忘了.asp（当然.asa，.cer，.cdx都可以啦）目录的妙用。
9.php 站无论windows还是linux，都有magic_quotes_gpc的问题，magic_quotes_gpc为on的时候，在server变量 注入的时候还是可以select i ... Read more »

1.比如你定位一个特征码定位到了一个字符串上我们比如这个特征码定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，遇到这个我想大家一定是修改大小写吧，但是有时候修改大小写还是被杀。 这个我们可以怎么办呢，我们可以移动位置，因为这个肯定是一个api函数的参数,我们找到那个函数然后修改下调用地址就行了。 所以有时候大家不能总用通用方法，要学会变通。

 

2.NOD32的疑问
前天有一个会员来问我他说它定位NOD32，定位到了资源上，这个有一个可能是你的定位有错误。这个你可以通过multiccl把资源和输入表段保护起来，然后定位，看可以定位出其他的特征码不能。

 

 

3.花指令
花指令无非是一些干扰程序调试的一些手段，当然也可以作为用来迷惑杀毒软件使杀毒软件找不到我们的特征码,从而达到免杀。
为什么大家总是喜欢用网上的一些什么花指令方法。其实我发现其实多调用一些子程序，多加一些跳转，要比你们写花指令要好的多。 比如你写一些废话 然后通过call调用,然后在多加几个跳转。我想免杀的时间要比你们在那里对照8080汇编手册写出来的要好的多,免杀就是要靠自己去想。

 

 

4.DLL文件免杀出现重定位
大家可以参考黑防9期文章里的那篇文章，这里我不多讲了。。

 

5.为什我服务端做了免杀,可是生成出来被杀。
这个大家首先可以对比一下有什么不同的地方，这个我给大家一个思路，现在杀毒软件就喜欢定位有标志型意义的地方（通俗点讲版权信息），大家在做的时候因为为了保护我们的木马，所以就委屈下原作者，呵呵。版权信息给改了。 还有一个就是比如说灰鸽子,现在杀软会定位到它的一些dll文件名上,你修改完dll然后找到调用dll文件的函数，然后修改下参数即可。。。。

在幻泉老师的博客里看到的````

 

I recommend double clicking the video and watching it in full screen so its somewhat legible. This video walks through an example of attacking a windows domain. This post also contains a textual walk through.

V.

 

Get administrator rights on a workstation which is on a windows domain using whatever method you can find. (exploit, stolen password, smbrelay, phishing, etc). Look for the domain server. There are a variety of ways to do this. You can arp -a to find active IP's or ping scan the network and then use the nbtstat tool to look for the right domain controller identifier or an obvious hostname.

 

You can also browse the network neighborhood or use the net view command.

Aquiring and cracking the hashes of your target is generally useful as well.

Enumerate group membership so you know who to target.

Get the use ... Read more »

方法一：setuid的方法，其实8是很隐蔽。看看过程:

[root@localdomain lib]# ls -l |grep ld-linux

lrwxrwxrwx 1 root root       9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so

lrwxrwxrwx 1 root root      13 2008-06-07 17:47 ld-lsb.so.3 -> ld-linux.so.2

[root@localdomain lib]# chmod +s ld-linux.so.2

[root@localdomain lib]# ls -l |grep ld-2.7.so

-rwsr-sr-x 1 root root 128952 2007-10-18 04:49 ld-2.7.so

lrwxrwxrwx 1 root root       9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.so

[root@localdomain lib]#

我们这里给/lib/ld-linux.so.2这个文件（在FC8里，它指向ld-2.7.so这个文件）加了setuid属性。然后我们看怎么利用 它。

普通用户登录，测试下权限：

[xiaoyu@localdomain ~]$ whoami

xiaoyu

[xiaoyu@localdomain ~]$ /lib/ld-linux.so.2 `which whoami`

root

作者 Canberk BOLAT <hc0de.blogspot.com> 

翻译 幻泉  （不算翻译 都是根据幻泉自己理解写的。） 

0x01  信息 

写出这篇文章很重要一点是因为mysql_close()函数的原因。这个函数会关闭mysql连接的session。而当mysql_close()函数没被应用到conn等包含文件中时出现远程文件包含我们就可以利用远程包含程序来实现劫持数据库链接实现查询我们所需要的信息了。 

mysql_close() 函数： 

  mysql_close(link_identifier)函数关闭非持久的mysql连接。 

其中link_identifier的作用是指定打开的连接，如果没有找到该连接，函数会尝试调用mysql_connect()建立连接并使用它。如果发生意外并且没有找到连接或无法建立连接则会返回E_WARNING级别警告信息。 

一般情况mysql_close()函数是没有必要的，因为当程序建立mysql连接会自动关闭其连接，并释放。 

但是在释放会在程序执行完成后发生，这一点是很重要的。 

0x02 攻击 

我认为这是php的错误，因为如果我们能注入我们的代码到这个脚本并且能够执行任意sql查询则有可能会产生SQL查询劫持效果。 

像test.php这样的文件，我们可以看到他并没有执行mysql_close()函数，并且在最下面出现了远程文件包含漏洞。 

test.php 

      < ... Read more »