lake2的专栏

CSRF——攻击与防御author: lake20x01 什么是CSRF攻击    CSRF是Cross Site Request Forgery的缩写（也缩写为XSRF），直译过来就是跨站请求伪造的意思，也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做，你可以把它想做HTTP会话劫持。    网站是通过cookie来识别用户的，当用户成功进行

Author: lake2 ( http://lake2.0x54.org )注：本文发表于《黑客防线》2006年第2期继WebShell、FTPShell之后，让我们再来玩玩SQLShell 吧。使用数据库考虑最多的就是速度和效率，所以呢，数据库系统就使用了存储过程这种机制来提高速度和效率。SQL Server 2000 支持5种类型的存储过程，这里我们主要说说SQL Serve

ServU的本地提权问题已经很老了，没啥说的，只是相继出现了PHP、Perl版本，当然不能少了aspx版本^_^以下代码Copy，保存为一个aspx文件即可。         Love, Where are you ?        Sub BTN_Start_Cl

 Author：lake2 今天帮一个朋友补SQL注射漏洞，但是那个破程序漏洞页面太多，一个一个参数过滤好麻烦，于是我就请出SQL通用防注入程序咯，这里特别感谢作者neeao呵呵，一下就搞定了，帮我省了不少事。使用中我突然旧病复发，嘿嘿，又想找最新的3.0β版本的漏洞。我们知道3.0版有个跨站漏洞，就是由于提交的参数的值没有被HTML编码，不过β版已经补上了。仔细分析，还有

    今天在某个群里有人发了这段消息：“XP一个有趣的bug首先在桌面上面建一个名为"notepad"的文件夹然后用IE任意打开一个网页点击菜单中"查看"-->"查看源文件"竟然打开的是刚才你建立的那个文件夹.”一测试，果然如此。仔细一想，估计应该是调用程序的路径问题。因为在windows下调用程序是如果不指定路径，windows就会从当前目录开始搜索。既然查看源代码调用的是notepad.ex

本文已发表于《黑客防线》2005年12期，转载请注明！大家好，不知道各位有没有用过偶的WebAdmin 2.X？嗯，对啦，就是那个ASP.Net环境下的后门。那是我不成熟的作品，要是有什么不顺手的地方还希望多多包涵。呵呵，今天呢，还是让偶来“黄婆卖瓜自卖自夸”吧，给大家介绍一下WebAdmin的最新版本——WebAdmin 2.Y。WebAdmin 2.Y功能上与2.X大致一样，不过2.Y是C/S

Author：lake2，http://lake2.0x54.orgDate：2006-1-1 PJBlog2是PuterJam开发的一款免费的ASP + Access的个人blog系统，这几天偶想弄个blog来玩玩，经过比较选中了功能、界面都相对较好的PJBlog2。经过试用，感觉这blog还不错，也发现几个安全方面的小问题，就把我的一点点见解发出来。我分析的版本是05年12月11日发布的PJB

Author：lake2（ http://lake2.0x54.org ）Date：2005-12-29 L-Blog是由 Loveyuki 自主开发的基于 ASP+Access 的小型单用户BLOG，好像网上用的比较多，主要是免费的（呵呵，向Loveyuki致敬）。昨天寝室断网了，闲着没事干，就把以前下载的L-Blog V1.08 (SE) Final版本拿来看，结果还真发现了几个问题。 1、L

一、cmd.aspx在邪恶八进制论坛（PS：有谁知道为什么最近几天这论坛打不开啊）有朋友提出WebAdmin执行命令不能带参数的问题，偶找了个BT主机来试试，果然有问题，就把以前那个cmd.aspx改了改，就请凑合着用先。WebAdmin 2.X的下个版本将修复这个问题J把一下代码复制保存为一.aspx文件即可： Namespace="system.IO" %>Namespace="System.

    刚刚买到黑客防线12期，上面有篇名为《邮箱附件的另类突破》的文章，lake2不敢苟同，提出来商榷之。呵呵～    文中作者说把邮件附件以交换数据流的形式附在任意文件里，合成后“文件大小不会变”、“可以使邮件的发送速度大幅的加快”。为什么文件大小不变？物质不可能凭空消失啊，只是你在windows里看不到它而已，看不到不代表不存在，既然存在自然不会有加快速度之说。其实你在发送邮件附件的时候附加

海洋顶端是很出名的 ASP 木马，我从红粉佳人版本开始就一直用它，也算是它的fans了，今年海洋顶端出了最新版本也是最后一个版本 —— 2006Plus。身为fans，自然要拿来用用才是，初次使用感觉有了几个变化：界面变了，文件浏览不再是图标形式；所有动作改为POST方式提交；功能增加；……唉呀，赶紧打住，再写就变成广告了^_^海洋顶端以往的各个版本密码都是明文存放的，这回 2006+ 专

By lake2 （ http://lake2.0x54.org ） 随着技术的发展，ASP数据库插马也不是什么新鲜的东东了，相信阁下也玩过这个的吧。呵呵，那你有没有遇到过插入的asp代码被空格拆开的情况呢（即插入的每个字符之间都出现了空格）？现在，就让我们来解决这个问题。经过对多例实际情况的分析，我发现只要出现代码被空格隔开的数据库，相应的字段的Unicode压缩属性总是“否”。相反

    说到使用vbs下载文件是不是想到了XMLHTTP呢，呵呵，以下是比较经典的代码：iLocal=LCase(Wscript.Arguments(1))iRemote=LCase(Wscript.Arguments(0))Set xPost=createObject("Microsoft.XMLHTTP")xPost.Open "GET",iRemote,0xPost.Send()set

    好像标题有点吓人，其实也就是利用WAP＋WebShell。现在很多手机都支持WAP上网，只要稍稍修改下现有的Web后门的代码就可以实现WAP浏览器访问。    传统的Web后门与浏览器交互的是HTML，而WAP浏览器是WML（WML是一种基于XML的标记语言）。需要做的修改就是把HTML转为WML。    基于WAP的ASP后门这里下载：http://www.0x54.org/la

    一个暴力破解MSSQL用户密码的ASP程序，最早发布在EST论坛。以下这个版本是可以运行之后关闭浏览器，运行完毕将在当前目录生成结果文件的。 用ASP做事情效率很慢，当然这个程序所体现的不是它的效率，而是……给你点悬念，不然多没意思哦。    自己把以下代码保存为ASP文件。当然我还是一如既往的BS那些只改作者名字的家伙。

Author：lake2 ( http://lake2.0x54.org ) 最近的生活真无聊，寒冰掌老大见我无所事事，就说如果我能把Serv-U本地提权的ASP程序做出来就给介绍个MM，所以呢，就有了这篇文章^_^Serv-U本地提权的问题很古老了，不清楚的朋友谷歌一下先，我就不罗嗦啦。呵呵，最主要的是相继出现了php、perl、aspx版本的提权脚本，一时间刀光剑影满天飞，惟独缺了

已经听N个人过说有人已经发现SQL注入Access得到webshell的技术了，也只是听说而已，具体的细节还是不得而知。最近在看的书中一章提到Jet的安全，然后灵光一闪，呵呵，发现了一种可以利用access导出asp的方法，分享之。几个月之前网上就流传利用SQL注入Access导出数据库内容到文本文件（可导出txt、htm、html等格式）的方法： 

Author：lake2 (http://lake2.0x54.org) Web应用程序是通过2种方式来判断和跟踪不同用户的：Cookie或者Session（也叫做会话型Cookie）。其中Cookie是存储在本地计算机上的，过期时间很长，所以针对Cookie的攻击手段一般是盗取用户Cookie然后伪造Cookie冒充该用户；而Session由于其存在于服务端，随着会话的注销而失效（很快过

Author: lake2, http://lake2.0x54.org 让我们看一段 ASP 代码先：      Function getIP()          Dim strIPAddr as string          If Req

Author：lake2  ( http://lake2.0x54.org ) 用ASP久了，就会感到有个很郁闷的地方：ASP不像其他脚本语言那样能访问Socket。所以或许你用过PHP、Perl等实现的端口扫描器，惟独没见过ASP的。嘿嘿，所以今天本文的目的就是利用“曲线救国”的策略实现ASP端口扫描器。Only for enjoy！所谓曲线，呵呵，当然是利用其他的访问网络的组件，那

 现在流行虚拟主机建站，我也有个网站，也算是个站长咯。当了近一年的站长，感到网站程序每次升级的时候颇为麻烦：先去官方看公告，然后下载升级包到本地，解压，FTP上传到虚拟主机。这些都是累人的体力活，加之本人又懒得很，所以异想天开的觉得要是程序能够自动升级就好了。所以就想了想，写了本文，希望对WEB程序开发者有帮助。这里只针对ASP，因为我只会ASP :-(先看看传统的win32程序的升级过程

Author：lake2 ( http://lake2.0x54.org ) FTP反弹攻击（FTP Bounce Attack）是很古老的技术了，居然能在我们的信息安全教材上找得到介绍，可见其确实年代久远。所谓FTP反弹攻击就是利用FTP协议的PORT命令将数据发送到第三方，这样就可以利用FTP服务器实现对其他机器的端口扫描和发送数据了。由于这种攻击的存在，所以FTP服务器一般都限制

Author：lake2 ( http://lake2.0x54.org ) 验证码就是每次访问页面时随机生成的图片，内容一般是数字和字母（更BT点的有中文，呵呵），需要访问者把图中的数字字母填到表单中提交，这样就有效地防止了暴力破解。验证码也用于防止恶意灌水、广告帖等。溯雪是早年大名鼎鼎的黑客神器“刀光雪影”之一，其功能就是暴力破解表单，那时很是很流行的。但是后来有了验证码这个东东，

Title: DotText Cross-Site Scripting VulnerabilityAuthor: lake2, http://lake2.0x54.orgBugtraq ID:  13450Published: Apr 30 2005 12:00AMDescription:      DotText is an open source weblog system started b

by lake2 (http://lake2.0x54.org)上回渗透一站点，SQL Injection测试时返回这个页面（图1）我晕，原来服务器上装了一个叫“一流信息监控拦截系统”的BT玩意儿，扫兴！查查它老底先。Google一下“一流信息监控拦截系统”。原来这是广州××信息科技公司开发的内容监控系统，用来监控拦截非法信息的，当然也包括SQL注射。它主页上软件功能介绍赫然写着：“软件可以全面拦

Request对象探讨Request是ASP里的一个内部对象，用于获取HTTP请求中传递的任意信息（如头信息、表单数据、cookies等等）。所以这是在ASP里面最常用的内部对象，常用来获得GET方式提交的数据（Request.QueryString）、表单POST提交的数据（Request. Form）和Cookies（Request.Cookies）。我们用Request对象可以指定获取某个特

    关于交换数据流（alternate data streams）的概念请参看bigworm翻译的文章《NTFS不利的一面》，本文只是讲一下在IIS上访问ADS的情况。    先请大家看一个很古老的漏洞：Microsoft IIS 3.0/4.0 ::$DATA请求泄露ASP源代码漏洞。大概这是能找到的ADS与IIS的最早的报告了。    $DATA是在NTFS文件系统中存储数据流的属

       Q&A       Q：为什么写这篇文章？       A：那天在群里聊，有个叫lis0的家伙叫我写的……    这个漏洞是半年前的事了，很老了吧，可是我现在才研究了一下，没办法，谁叫我消息闭塞呢——谁叫学校网络像垃圾一样……（汗～～～）    好了，首先找个网站看看漏洞信息吧。个人认为绿盟较好，信息更新快，呵呵，毕竟人家有商业利益驱动着啊。看这里：http://www.ns

               Windows脚本编码器算法分析与破译                             by lake2（http://mrhupo.126.com）    大家对脚本一定很熟悉吧，呵呵，脚本编写简单无需编译所以非常方便。不过，脚本的一个缺点是它不能保护脚本的内容，因为随便谁拿到一个脚本程序都可以用记事本打开来看内容。这样就不安全了嘛，比如你的知识产权可能

       利用%5c绕过验证---------------------------------------       lake2（http://mrhupo.126.com）       2004-11-27---------------------------------------    说到%5c，你是不是想起了当前流行的那个%5c暴库漏洞，呵呵，本文就是对%5c利用的探索（呵

标题：ASP后门之终极伪装作者：lake2 （http://mrhupo.126.com）时间：2004-8-21申明：本文已刊登于《黑客X档案》2004年9期　　记得当年asp木马出来的时候号称“永不被杀的木马”，呵呵，时至今日，随便什么杀毒软件都能将其杀得片甲不留^_^呵呵，受到木马换壳躲避杀毒软件思路影响，我们也可以给asp木马“加壳”（呵呵，当然不是用U

说到url编码，你或许会想起N年前的url编码漏洞。可惜我是“生不逢时”啊，我接触网络时，那个漏洞早就绝迹咯。言归正传，URL 编码是什么东东呢？看看我从网上抄的定义：引用: url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值 ，将它们以name/value参数编码（移去那些不能传送的字符, 将数据排行等等）作为URL的一部分或者分离地发给服务

 上次用sqlhello溢出时拿到一个shell，试了试at，可以执行，看来是管理员权限，可是却不能用net、ftp、tftp命令。晕，那偶怎么上传文件？ 呵呵，还好，难不到我。就将就那个shell在命令行下面echo一个webshell上去，然后再做打算。 虽然只echo了一个几行的小程序，但是累死了，所以我就用C写了一个程序，以备下回遇到。 原理很简单啦，就是在每一行代码前加“ec

以前写过一篇文章叫《asp.net环境下的cmd命令执行》；那个帖子最早是发在安全焦点和幻影旅团论坛。后来幻影有个叫老凯的回帖说可以利用输出重定向而无需临时文件，lake2也成功了。这里就给出基于VB.net的核心代码：引用: Dim myProcess As New Process()Dim myProcessStartInfo As New ProcessStartIn

我是在尘缘雅境图文系统V3.0（沸腾修改版）build20030123版本发现经过实地测试，原版也存在此漏洞。只是修改版密码用了md5加密存在漏洞页面：type.asp，Special_News.asp（可能还有，由于时间关系，我就不看了^_^）确定存在漏洞之页面：type.asp，我利用这个页面SQLInjection拿到某学校网站的后台权限。不过在后台管理里不能上传asp文件，前段时间动网爆出

起因     唉，这几天天气热。雪影我吃东西吃到了变质的……结果被送到医院输液。惨呐，我有6年没输液了……5555～～～～～～～不过很快就好了^_^     一回家打开电脑，咦？不对，电脑今天怎么怪怪的？打开超级兔子魔法设置（系统管理的软件），找到自动运行的程序项，发现多了一个！晕！中病毒了！用金山毒霸扫描，竟然查不到（不是金山的错，我相信你用瑞星、江明等一样查不到。因为杀毒软件不是万能的，但没有

    上次拿到一个webshell，可是接着遇到麻烦——主机装了硬件防火墙。虽然发现主机的MSSQL存在hello溢出漏洞，但是由于防火墙的阻挠始终拿不到shell（反向连接时发现仅仅能够连接，没有数据过来），另外又试了N种本地提升权限的方法但以失败告终。郁闷！后来又想到如果在webshell里用sqlhello溢出绑定一个防火墙允许开的端口，那不就ok了。当然这个端口必须是现在关闭着的。 

NTFS上的交换数据流-------------------------------------------------------|          lake2 lake2@mail.youkuaiyun.com>            ||           http://mrhupo.126.com                      ||                       20

    旁注攻击对虚拟主机的威胁比较大，不过现在很多虚拟主机都使用了一个网站一个用户的模式（具体的设置方法你可以去google搜搜《构建免受FSO组件威胁的虚拟主机》一文），遇到这种设置的机器还真的很是麻烦，能不能突破就全看对方管理员的安全意识了。我只是在这里提出一种突破方法外加打广告。    现在有的服务器安装了.NET Framework（win2003自带），也就是说IIS支持ASP.NET

        ASP.NET下有自己的执行CMD命令的方式，这里用WScript.Shell似有画蛇添足之嫌，但是我们也不能排除真的有机器禁用了.NET的相关类，未雨绸缪嘛。当然也不仅仅局限于WScript.Shell，只要是ASP中能用的组件，统统都可以用于ASP.NET中，而且还更方便！        ASP.NET提供了两种方法让我们使用COM组件：1、Server对象的CreatObje