<![CDATA[5up3rh3i'blog［提供有偿web代码安全审计服务］]]>

<![CDATA[5up3rh3i'blog［提供有偿web代码安全审计服务］]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/hi%5Fheige zh-cn www.baidu.com 5 <![CDATA[Flash封装的网马]]> 记得去年xgf上知道创宇的小G讲了个关于网马的pp,里面就提到用Flash封装的网马:http://hi.baidu.com/ycosxhack/blog/item/c28fed54d7d0a35fd0090636.html,现在终于在世面上见到了.[可能那些nb公司的人早就抓到过样本了] 见下图:

呵呵直接用的上面那个blog的代码:

import flash.external.*;
ExternalInterface.call("eval","xxxxxx");

不过值得说明的是,这个样本还采用了flash的混淆'加密'.一般的flash反编译软件没有用,上面我就是用hp的swfscan出来的代码是混淆后的.网马代码根本看不到... 这样混淆了的flash不知道现在的做挂马扫描或者防御的软件是不是可以搞出来.... :)

类别：默认分类查看评论]]> 2009-07-11 21:07 http://hi.baidu.com/hi%5Fheige/blog/item/376fc606d9caa8c47b89471b.html <![CDATA[地球很危险]]> 类别：默认分类查看评论]]> 2009-07-06 11:22 http://hi.baidu.com/hi%5Fheige/blog/item/63b9ee0275c7e881d43f7cb5.html <![CDATA[http-analyzer-full-edition-501[含注册机]]]> http://www.fullrapidsharedownload.com/rapidshare-downloads/ieinspector-http-analyzer-full-edition-501

以前的版本老是对ie8抓不到包.终于找到个新版本的了

其实是里面的这个:http://rapidshare.com/files/245233315/IEInspector.HTTP.Analyzer.Full.Edition.v5.0.1.Incl.Keymaker-ZWT.rar

类别：默认分类查看评论]]> 2009-07-04 22:42 http://hi.baidu.com/hi%5Fheige/blog/item/7d8043db77c602d2b6fd4838.html <![CDATA[Multiple Exploiting IE8/IE7 XSS Vulnerability]]> http://www.80vul.com/ie8/Multiple%20Exploiting%20IE8IE7%20XSS%20Vulnerability.txt

可能很多地方的描叙不是那么准确,大家晓得这个意思就好了~~~~~ :)

类别：默认分类查看评论]]> 2009-06-21 16:33 http://hi.baidu.com/hi%5Fheige/blog/item/4960aa98f6c85a016f068c7c.html <![CDATA[php的安全补丁风格越来越像adobe]]> [PCH-006] 更新了一下,php的fix很山寨~~~

顺便关系下80vul-B牛人在baiduhi开博:

http://hi.baidu.com/80vul_b

类别：默认分类查看评论]]> 2009-06-19 14:44 http://hi.baidu.com/hi%5Fheige/blog/item/065abad20737503d970a1613.html <![CDATA[QQmail Multiple Xss Vulnerabilities]]> http://www.80vul.com/qqmail/QQmail%20Multiple%20Xss%20Vulnerabilities.htm
类别：默认分类查看评论]]> 2009-06-18 22:06 http://hi.baidu.com/hi%5Fheige/blog/item/76ccc63e9e24abcb7d1e719a.html <![CDATA[[zz]SE大牛在Dutch PHP Conference上的pp]]> http://www.suspekt.org/2009/06/16/dutch-php-conference-the-slides/

虽然没看到多少新的知识点,但是偶像的东西必须顶 :)

类别：默认分类查看评论]]> 2009-06-17 20:15 http://hi.baidu.com/hi%5Fheige/blog/item/03886ed84baa0de038012f6d.html <![CDATA[CVE-2009-1140的8挂]]> 大牛8挂nb漏洞,我们只好8挂下委琐流的漏洞了....

----------------------------------------------------------------------------

跨域信息泄露漏洞 - CVE-2009-1140

在 Internet Explorer 缓存数据的方式中存在一个信息泄露漏洞，可错误地允许调用缓存内容，从而绕过 Internet Explorer 域限制。如果用户查看网页，攻击者可通过构建一个允许信息泄露的特制网页来利用漏洞。成功利用此漏洞的攻击者可在另一个域或 Internet Explorer 区域中查看来自本地计算机或另一个浏览器窗口的上下文。

要在“常见漏洞和披露”列表中以标准条目查看此漏洞，请参阅 CVE-2009-1140。

----------------------------------------------------------------------------

分析详见:http://www.coresecurity.com/content/ie-security-zone-bypass

对于这个漏洞的8挂,我们可以先看看大牛蛙的blog上:

----------------------------------------------------------------------------

去年致谢提到的问题，看似和其中的CVE-2009-1140类似实则不同，故不在此列，依然按计划放在IE的下个较大版本更新时修复

----------------------------------------------------------------------------

不过就我个人看来,应该是同一个问题只是利用方式不一样而已.

CVE-2009-1140 利用的技巧是n年前就出现过的技巧[MS00-055],插入html代码到index.dat,然后用file://127.0.0.1\c$的方式调用index.dat来执行这个html代码
80sec-xxxx-xxx 同样是通过//127.0.0.1\c$调用本地文件,然后根据xxxxxxx来判断

所以根本问题是//127.0.0.1\c$跨域调用了本地文件 :) .不过对于ms的fix方式来说可能是"类似实则不同",换个角度说有可能通过修改判断方式让80sec-xxxx-xxx继续工作???????

[另外:file://127.0.0.1\c$同样是在Internet域,所以不可以调用WScript.Shell直接来执行]

类别：默认分类查看评论]]> 2009-06-10 22:17 http://hi.baidu.com/hi%5Fheige/blog/item/d2cf55119faa32f4c2ce7962.html <![CDATA[[探索·发现]]]> http://space.tv.cctv.com/page/PAGE1198344259595183
类别：默认分类查看评论]]> 2009-06-09 20:06 http://hi.baidu.com/hi%5Fheige/blog/item/135fa25094d37110377abe7d.html <![CDATA[[zz]wafw00f]]>

这个是appseceu09上一个一个演讲,主要是说杂去探测waf

http://www.owasp.org/images/0/0a/Appseceu09-Web_Application_Firewalls.pdf

wafw00f项目:http://code.google.com/p/waffit/

看到这个,想起了几年前我写的一个小脚本:

FiltersScan.pl :https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=55837

对一些采用黑名单方式的ids或者过滤函数还是有一定的效果的:)

类别：默认分类查看评论]]> 2009-06-05 21:25 http://hi.baidu.com/hi%5Fheige/blog/item/c57c1ed647c17bd5a044df55.html