最近在翻看危险漫步博客一些文章的时候,拜读了一篇文章关于Cookie注入的文章,受益良多。文中详细解析了Cookie注入漏洞存在的原因以及多种利用方法,非常适合大家来学习进步,但是我总感觉不够完善,今天我就来补充一下。

想想看,大家平时在入侵中碰到Cookie注入漏洞的时候,多半采用的利用方法应该就是用“寂寞的刺猬”大大写的那款“注入中转生成器”来生成一个asp页面。

然后将生成的页面文件放在asp环境下,构造出合适的url就可以直接注入了。方法虽然不是很复杂,但是有的时候,专门为了一个注入漏洞来搭建一个asp环境也挺不方便的。

一、工具的简单介绍

这里,我就给大家介绍一款工具,可以直接搞定大部分Cookie注入漏洞,避免了因需要搭建asp环境而带来的麻烦。好吧,废话不多说,先上工具的高清无码大图一张。

没错,就是这个“鬼客、cookie全自动SQL注入工具”,从标题就可以看出来,这个工具只适用于Access数据库的注入,这也就是我前面提到的可以搞定大部分Cookie注入漏洞而不是全部的原因了。

二、实践演示

我们直接搭建一个存在Cookie注入漏洞的网站出来,在实践中来掌握这个工具的使用方法。这里我从网上找到了一套程序“宜昌电脑公司”,好了,网站搭建好,我们就来开始活动了。

经由我们分析得知,存在Cookie注入漏洞的页面是网站根目录下的news_more.asp文件,Ok,我们在网站中找到类似的链接,习惯性的在该地址后面添加一个单引号,弹出了防注入警告。

继续提交-0和-1,分别返回了不同的页面。

到这里,我们就可以大胆的猜测该页面存在Cookie注入漏洞了。

1.jpg

接下来就是鬼客的这款工具大显神通的时候了,打开工具,在注入网址框填写,变量框填写id,变量后的值框中填写1179,这个具体是需要根据存在Cookie注入的地址来填写的,因为我是本地搭建,存在Cookie注入的地址是//localhost/news_more.asp?id=1179,所以就要按照上面介绍的来填写。

心急的朋友们别只填写好这个以后就直接点击检测按钮了,不,我们还需要填写下连接类型和特征字符。我先来解释下连接类型,所谓连接类型,就是指该注入点是数字型还是字符型注入点,关于怎么判断我就不多说了,无非是个单引号符号闭合的问题,单纯的看数字还是字母有时候不是那么准确。再来说下特征字符,所谓特征字符,就是指当前正常页面存在而报错页面不存在的,可以起到区分作用的字符串。这里,我们用刚刚那个注入点做演示,先提交让其报错。

对比正常页面,我们发现,新闻标题不见了,那么该则新闻标题“一分价钱一分货高价彩色

复合机推荐”就是存在于正常页面而不存在于报错页面的特征字符了。OK,我们将其填写在特征字符栏中,经测试,连接类型是数字型,我们勾选数字单选框,填好后结果。

至此,需要填写的就全部完成了,我们点击检测按钮,稍等一会,工具左下方提示存在注入。

到这里,就可以开始注入了,我们点击检测表段,工具就开始用字典暴力破解表段了,稍等一会后,会在左下方提示检测表段完成,我们可以发现工具检测出来一个ADMIN表段。

这里ADMIN表可能就是存放管理员账号密码的表,我们单击选中它,然后检测字段,耐心等待一会至提示检测字段完成,Ok,我们发现在ADMIN表下已经检测出来了三个字段:ID、ADMIN、PWD。

接下来,就是分别对ADMIN字段和PWD字段的内容进行检测了,最后得到内容。

有的时候得到的密码可能是经过加密的,那时候就需要相应的查询解密,这里是明文密码就不多说了。接下来就是去后台测试注入到的账号密码是否正确,找到后台,成功登陆。

至此,我相信大家都会使用该工具来直接搞定Cookie注入点了。如果遇到另类的表名字段名需要添加的情况,我们可以点击工具左侧的程序设置按钮,然后自行添加。

记得某位大牛曾经说过:工具的作用就是让入侵更为方便。相信这款可以直接搞定Cookie注入点的工具,可以让大家在以后的入侵过程中更简单更快捷的搞定目标。同时也希望大家有什么好的工具一起交流进步。

危险漫步这回给大家带来JAR手机游戏和软件的简单破解教程。

一、准备

1、智能手机一部

2、X-plore(很好找到,各大网站都有)

3、你要破解的JAR游戏安装包

二、测试

本次“实用手机荧光棒”为例,为了以防万一,首先把情景模式调到离线,并运行游戏到收费那里,记录一下号码。然后退出游戏,看一下发件箱有无短信,有就删除了,要不然可能扣费!

1.jpg

三、破解

1、先打开X-plore,因为智能机安装jar软件后jar的安装包不会消失,所以我们来修改这个文件,找到这个文件,点击确实后进入就能看到这个软件的内部结构,点菜单一文件一解压到…,然后菜单一文件一新建文件夹,把文件解压进这个文件夹。

2、解压后文件夹中有好多“class”结尾的文件。

我们就是要修改这些文件。我们在文件上按键盘“3”用16进制打开会看到很多代码,然后按键盘“1”出现搜索,我们搜索“sms”。如果有就会直接跳转过去,没有的话也会提示。

3、当找到后跳转过去,看后面是不是我们那会记得那个“10668“开头的号码啊!接着点

菜单一编辑一查找下个,就跳转到我们刚看到的那个把前5位“31 30 36 36 38”改成"31 30 30 38 36”,修改好后点返回,会提示我们保存,当然选择是了。

4、修改好了一个后,我们要继续查找其他的文件,把能找到的全部修改了,以防它还有扣费代码,危险漫步这里可是复查了好几遍才确认没有的,大家可不能随便查查就算了哦。

5、修改好了后我们就要重新打包了,返回文件夹,点菜单一标记一全部标记,标记所有的

文件夹内的文件,然后再点菜单-*zip一复制到zip,选择一个路径后就会有一个”Files。zip'’,文件名随便,但一定要把后缀生成”。jar”,然后我们选中这个新生成的文件,点菜单一文件一从系统打开,安装测试。

四、测试

还运行游戏到收费的那,看看短信发出的号码前面是不是有10086呢!有就说明成功了!

五、完成

到此软件破解完成!游戏也是这个思路,破解后尽情购买收费道具吧!不过不要弄的太BT啊,否则就没有游戏的乐趣了!

提示:本教程比较适合移动号码,因为联通给10086发短信不免费,但是一条短信只花1毛,比原来便宜很多。

电脑端翻墙的方式,之前危险漫步博客上也介绍的很多了,虽然提到了通过浏览器中转服务器实现翻墙,但举的例子比如UC浏览器和Skyfire,在未经修改前还是不能翻墙的。本文将详细修改手机浏览器实现翻墙的方法。

文章以著名的浏览器Opera mini的android版为例,介绍修改,JAVA版和S60版做法类似,可以参考。

由于Opera mini的国际版(原来能翻墙的那个)现在在我国已经不能用,而必须下载中国版。中国版的当然是不能翻墙的,所以首先我们需要架设自己用于中转的服务器。这里以基于Google App Engine为例,介绍架设OPM。

首先需要创建一个新的GAE程序,这一步骤与之前危险漫步博客上面的GAppProxy相仿,我就挑关键步骤写一下了。访问如果没有账户则需要注册一个Gmail,用Gmail登录后按Create Application。在下一步中随意填写,一定要记住Application Identifier里填的东西,这里我为大家申请了一个,取名为gwxopmpublic,方便不愿意动手架设OPM的朋友直接使用。

接着要下载光盘中的opm压缩包和Google App Engine SDK for Java 1.3.5,将二者解压至某目录。将解压后的java-sdk文件夹命名为gaejavasdk放在D盘根目录下,然后将解压后的opm文件夹放入d:gaejavasdk。

用记事本打开“opm/war/WEB-INF/appengine_web.xml”文件,找到一行:<application>your-

application-id</application>把“your-application-id”改成你对应的Google App的名称,这里就是gwxopmpublic,修改后保存。

进入命令行(运行cmd)进入刚才的“d:gaejavasdk”目录,再进入bin目录,在提示符下输入如下命令:appcfg.cmd update d:gaejavasdkopmwar,其中update之后是刚刚那个OPM的文件夹。

接下来会有提示输入Gmail地址和密码,注意,输入密码时屏幕上什么都不提示,这和GAppProxy上传fetch.py时是一样的。最后,等待上传完成,当出现下面一行提示时则上传成功:Update completed successfully。上传好后测试一下,浏览http://你的程序帐号ID.appspot.com/opm。上传成功后我们就要对浏览器进行修改了,首先下载最新版Opera mini的APK文件放在一遍用于修改。然后我们需要一款能够反编译APK的工具,这里为了自己,我基于APK Manager重新写了一款全中文的反编译工具,这款工具的功能当然不止是修改浏览器这么简单,对于APK文件能提供全方位的修改与编译功能,这个让大家们自己研究吧。在双击其中的“运行我.EXE”进入主程序前我简单介绍一下文件目录结构。解压后你会看到6个文件夹,其中other是存放APK编译脚本和程序模块的文件夹,Projects文件夹将会包含反编译出来的文件,而place-apk-here-for-modding文件夹专用于存放待修改的文件,place-apk-here-for-signing用于放置待签名的文件,place-apk-here-to-batch-optimize用于放置待批量处理的文件(可以多个),place-ogg-here文件夹用于存放OGG文件。好了,双击“运行我.EXE”开始我们的修改之旅吧!

1.jpg

将要修改的Opera浏览器的APK放进place-apk-here-for-modding文件夹(这个文件夹用于存放待修改的文件,文件名一定不能有空格,最好全英文),光盘里的APK是国际版的,建议修改国际版的,当然中国版的一样修改。在APK修改器中输入22选择这个APK,然后输入9回车,提取并反编译APK文件。约3秒左右,提取出来的文件就能在projects文件夹中找到。到目录下找到:“projectsOpera.apksmali”中的f.smali,用记事本打开,这时我们就可以替换Opera的服务器地址了。

按F3查找,以“http”或者“socket”为关键词,找到2处要替换的,分别是:

const-string v3,"socket://mini5cn,opera-mini.

net:1080"

const-string v3,"http://mini5cn.opera-mini.

net:80/"

把这两行均替换为:const-string v3,。这样就实现了换

服。但光这样还是不够的,新版本似乎还加入了一串KEY验证的机制,这一改动使得笔者尝试了很多次都没有成功,经过笔者对代码的反复修改尝试,最终得到解决方法,我们还需要改一步,换KEY。

先找到一行:const-string v3,"socket://mini5.opera-mini.net:1080",这行上面一点点的地方有一长串东西("cldd7ab77e2c967746fel0681026c9......"),这个就是国际版的KEY。同时我们找到刚刚修改的地址上面也有一长串东西("8c60d2a6811f85366af231ae416831b09......")这个是国内版的KEY。我们复制国际版的KEY替换掉国内版的KEY。全部完成后保存。

修改完成后,应该是这样的一段代码(省略号表示无关代码省略):

<......>

const-string v3,"cldd7ab77e2c9<......KEY......>a5a28ccfa75af099147b"

aput-object v3,v2,v12

const-string v3,"socket://mini5.opera-mini.

net:1080"

aput-object v3,v2,v14

const-string v3,"http//mini5,opera-mini.net:80/"

<......>

const-string v3,cldd7ab77e2c9<......KEY......>a5a28ccfa75af099147b"

aput-odject v3,v2,v12

const-string v3,"http://gwxopmpublic.appspot.com/opm"

aput-object v3,v2,v14

const-string v3,"http://gwxopmpublic.appspot.com/opm"

<......>

我们回到APK编辑器,输入11进行编译,这是常规APK文件,所以当被询问是否是系统APK文件时输入N。完成后可以到目录下的place-apk-here-for-modding文件夹找到一个新的以unsigned开头的Opera文件,这个文件没有签名,还不能安装。

所以,继续使用APK编辑器,输入12进行签名(注意,不需要按22改工程哦)。很快projects文件夹下又多出一个signed开头的APK,这个APK就可以放进手机进行安装了。注意,安装新APKj必须把老的APK卸载掉,否则可能无法安装。

安装完成后运行,就能实现翻墙啦,HTG G1 Android2.2测试通过。

以上只是介绍了Android版Opera的修改方法,同样的方法适合修改Java版、iPhone版、S60版的Opera mini,理论上应该也适合修改QQ浏览器、UC浏览器,笔者选择了UC浏览器尝试了很多次,Java版的已经成功修改,但APK版的似乎很难成功,原因未知,希望大家们看了这篇文章能收到一点启发,修改更多浏览器实现翻墙,也希望高人能参考这篇文章的方法告诉笔者为什么UC浏览器的APK版本修改会失败。

好了,不多说了,今天就到这吧!

目录浏览漏洞的产生是由于服务器没有配置而导致的,利用谷歌能搜索出这样的网站,然后攻击。用过这项技术的朋友应该都会发现,搜索到的很多网站权限最高的也就是把数据库下载下来,而对于服务器端的脚本文件是无法下载的,而且打开以后是空白,源代码,也无法看到,当然网站的体系结构也可以探测到,这对于我们得到webslishell来说是非常的容易,但是离最高权限还是有一定的距离。

其实我们可以利用FTP搜索引擎就可以找到大量提供FTP功能的网站,如果服务器不在线,就会提示离线,我如果需要用户名及密码,就会提示需要账号,快照一般来说是可以直接进入的,不过也有可能由于各种原因会登陆不了。

随便打开一个IP地址,成功的进入了对方的服务器了,而且这样说出来的服务器要比使用目录浏览搜索出来的网站大很多,目录浏览搜索得来的并没有进入对方的服务器,而利用FTP搜索是直接进入服务器,上面的所有文件是可以下载的。

1.jpg

搜索这样的服务器也需要关键字,而关键字是需要自己构造的。我们都知道一般服务器时会安装第三方软件,所以可以搜索第三方软件来查找特定的服务器。

我们来搜索数据库连接文件。

我们来搜索数据库连接文件,看看效果,一样可以得到非常多的服务器。

我们可以搜索Pcanywhere,在得到了安装Pcanywhere五,软件的服务器之后,就可以访问硬盘内的cif文件,把它下载下来,就得到了管理员的密码,我还可以搜索Serv-U,然后通过修改它的ini文件,然后加上具有执行权限的用户,之后FTP连接上提升权限就可以了。

2.jpg

利用FTP文件搜索引擎得到的是服务器,我用谷歌搜索出来的是网站,所以FTP搜索权限要大得多,在我们进入服务器之后,不仅可以查看运行在该服务器上的网站的任何东西,而且还可以得到其他的一些敏感信息,更为严重的是,那些文件都可以下载,这样就可以不用得到webslishell了,而是直接进入服务器把第三方敏感文件下载下来,然后连接该服务器就可以了,当然最高权限也就可唾手可得了。

黑客技术小贴士:想不想在系统时间的位置显示自己的名字或者个性的话呢?如果你喜欢这样的话,可以在控制版面里找到区域和语言选项,单机去学校中的自定义,切换到时间选项卡中,把时间格式改为tt h:mm:ss,然后把上午和下午都改为自己喜欢的文字,并且确定就可以了。

由于最近看不惯一些事,于是就想要对不满的对象进行一番检测,于是有了本文。

首先当然是找注入点了,随便找了一个带数据库查询的链接,在后面加上“’”、“and 1=1”、“and 1=2”都返回空白页面,估计过滤了还是怎么着。不过作为hacker爱好者的我们怎能如此轻易放弃呢?于是就行找找目录看有没有什么可以利用的,不一会就在一张图片的链接属性里找到了Ewebeditor编辑器的踪影。

Ewebeditor可是个好东西,要是有用户名密码修改一下上传样式,马上就可以拿到shell。于是立马按照默认的地址打开后台登陆地址,令我失望的是后台被管理员删了,看来管理员的安全意识还是挺高的,后台被删了,就算下载到默认数据库也没用了。

以前看过一篇文章说没有后台照样拿shell,但一时也找不到那篇文章了。重新整理一下思路,既然数字型的注入不行的话,字符型的行不行呢,带着这个疑问,我找了一个带字符的链接,分别在后面加上'and'1'='1'和'and'1'='2返回了不同的页面。

1.jpg

确定是一个注入点后立马丢到啊D,但啊D却检测不出表名,于是我换pangolin,呵呵,Pangolin检测的结果马上就出来了。

有了用户名和密码当然是找后台登陆了,后台地址在首页就直接给出了链接,顺利登陆后台后发现有数据库备份的地方,这样的话只要备份一下上传的图片木马就可以拿到shell了,可惜的是后台备份路径和数据库名都不可以自定义。

然后我把源码本地保存后,修改路径和备份名后提交也失败了。这让我陷入了中断,因为后台除了ewebeditor编辑器外就这个备份可以利用了。随便抓包看看吧,于是用WsockExpert抓包了备份数据库的过程并且发现了些猫腻。

既然包中有路径、文件名等信息,那修改路径成图片木马所在的路径,以及把备份的数据库名改为.asp后缀的包后提交可不可以呢?说做就做,把抓到的前两个send包复制到记事本,并且用Uedit32修改包,需要注意的是加上或减去多少个字节一定要在length那里一定要对应,不然可能提交失败。

修改保存后用NC提交,提交后到后台去看,发现已经生成asp木马了,打开shell的登录地址,成功拿到shell。

总体上来说这篇文章技术含量不高,只是灵活地利用了一下抓包而已,希望可以给新学习的hacker爱好者一点点思路。