By:Neeao[B.C.T]
最近flash漏洞比较猖狂的说,昨天拿到0day样本,今天就听到朋友说有机子中招。
正好从网上找了个叫做SWFObject的小工具,做了个flash在线自动更新的东东,share下了。
测试地址:http://www.neeao.com/flash/程序下载:http://www.neeao.com/flash/flash.rar使用方法:
var so = new SWFObject("so_tester.swf", "sotester", "300", "300", "9.0.124", "#FF6600");
将9.0.124更新为最新的flash版本号,浏览者看到即会自动更新了。
如果版本小于最新的9.0.124的话,则提示更新,如下图:如果已经更新过了的话,则提示safe,如下图:
Archive for 五月, 2008
/***本文用到了正则表达式,如果你对正则表达式不熟悉,请查看相应的资料,jdk1.4以上支持正则表达式,具体可以*参考java.util.regexp.Pattern里的javadoc(讲的还不错)*最初发布的时候很仓促,一行注释都没有,实在对不住各位了.*这个小程序是用来检测sql(select)语句是否合法的,其实主要目的是探讨怎么用正则表达式来表示sql语句.*由于sql里包含了函数和子查询,这都属于语法分析的范畴,而正则表达式是用来表示词法的,要实现这一点好像比较吃力(lex好像也难),*所以我决定不再努力去实现这个目标(另外写语法分析程序吧).*@author xcopy@sina.com*/import java.util.*;import java.text.*;class sqltest{ public static void main(String[] args) { String span="select aaaa.id name ,hello…
ps:汗一个,这么快生成器就出来了。
open写的。
下载地址:flash0day.rar
ps:太疯狂了。
有问题的图片:http://www.icbc.com.cn/advertise/images/2008nian/mall/index/2006731675276133.jpg图片中的内容:这个页面会调用:http://www.icbc.com.cn/mall/index_mall.jsp
但是奇怪的是http://www.66ki.cn/index.htm 这个页面打开什么也没有。如果真的是被挂马的话,那可就郁闷了。
<?php$String = "text text text [a]this is a link[/a] text text [a]this is another link[/a] text text text text";
$String =…
<html><title>VMware Server Console ActiveX DOS POC</title><!–Author:Shennan Wangblog:http://hi.baidu.com/nansecstuff:http://www.d4rkn3t.cnthanks:Robinh00d,ayarei,void–><head><script language="JavaScript"> function test() {var bufA = "2";var bufB = "0";var bufC = "0";var bufD…
岗位名称:安全工程师 人数:4工作地点:北京 薪水范围:4000-8000元/月投递简历邮箱:hr@venustech.com.cn公司网站:www.venustech.com.cn
岗位职责:1、 负责的日常工作: 2、 木马检测服务、WEB漏洞扫描服务的实施3、 对服务客户的技术支持4、 对于网页木马,WEB漏洞的研究5、 开发日常使用的小工具
岗位要求:1、 大专以上学历;2、 WEB相关程序工作原理,精通脚本编程;3、熟悉WEB漏洞、熟悉WEB木马、WEB挂马技术、恶意脚本查杀4、熟悉应用层渗透技术5、具有较强的沟通及团队协作能力
作者:空虚浪子心[XGC]
url跳转漏洞遍布各大网站,简单看一下,THE9、sohu等居然都存在这个漏洞!我们就拿sohu为例,讲一下该漏洞。来到sohu的用户注册页面,可以看到,在IE地址栏里,默认写着http://passport.sohu.com/web/signup.jsp?appid=1000& ru=http://login.mail.sohu.com/reg/signup_success.jsp。
这串字符中的“signup_success.jsp”页面是做什么的呢?反正sohu免费注册,我们来试一下。原来注册成功后,跳转到了这个页面。如果这个地址是其他地方的呢?现在改掉地址栏地址,替换为IT168安全频道的首页:http: //passport.sohu.com/web/signup.jsp?appid=1000&ru=http://safe.it168.com/,然后开始注册。
最后居然跳到了IT168安全频道的首页了。
sohu原本的注册流程是这样的:注册–处理注册信息–注册成功–跳转到成功页面–点页面链接自动登录–登录后跳转到mail.sohu.com。 而跳转后的页面我们可以控制,所以流程可以被我们改为:注册–处理注册信息–注册成功–跳转到伪造的登录页面–用户输入密码点登录–提交密码给我们–最后跳转到mail.sohu.com。下面按照修改后的流程注册。首先准备好工具,一个伪造的sohu登录页面(欺骗用),一个ASP页面(接收发来的密码并保存)。打开mail.sohu.com,照原样复制一份HTML源代码,为了让用户更容易受骗,还要在登录口写上“请登录”字样(过程见下文)。
因为sohu在登录的地方使用了自己的控件,看不到登录框的代码,操作登录的元素就比较麻烦了,还好微软提供了Ietoolbar这个IE的插件,可以看到sohu登录控件的名称,等登录控件加载完成,就可以对他进行操作了。
从抓包的数据中可以看出这个控件使用了AJAX,不知道他在页面触发AJAX的函数是什么,可能是onclick()也可能是别的,在写代码的时候必须保证让sohu的登录代码在我们提交密码到自己的asp页面(用来保存密码的页面)之后执行。无论他的函数是什么,我们都可以拦截,使用JS函数劫持技术,其实就是面向对象语言中的“方法重写”技术。
a.html代码(伪造的登录页面): …
PS:这个漏洞通杀IE和firefox。请各位尽快升级吧。最新的9.0.124版本官方下载:Adobe Flash Player version 9.0.124.0 下面这个链接可自动根据浏览器更新,点击下面的Agree and install now,即可安装或下载最新版的flash程序。http://www.adobe.com/shockwave/download/flash/trigger/en/2/index.html
出处:cnbeta我取到了一份swf格式的exploits,测试了一下在Flash Player 9 .0.115的结果。
Adobe Flash Player 9 .0.115 在播放恶意构造的swf时,会自动下载一个可执行文件并执行,而我拿到的这个swf文件会自动下载一个downloader并运行,然后再由这个downloader下载其他预先指定的木马程序,相当的危险。
这个漏洞出现在Adobe Flash Player 9…
/** Module: InfectDriver.c** Author : 老Y (源自kanxue,不过老Y放的code不完整,需要自己补充)* Fixer : sudami [sudami@163.com]* Time : 08/05/28** Comment:** 半年前一大牛在kanxue进行“驱动感染”扫盲,偶当时没搞明白.半年后突然想起来,于是* 尝试学习下.由于偶太菜,弄了几个小半天.终于调试成功. 关键点在于计算驱动自身的* 大小, 编译完驱动后,要用IDA打开它:*…