日归档：2004 九月-19

转自<黑客基地> 编者：不是我爱多嘴，那些经常去＂参观＂别人后台的黑友可该仔细看看了．正所谓知己知彼什么什么的． 作者：丁丽萍1,2+,王永吉1 转贴自：http://www.infosec.org.cn 论计算机取证工具软件及其检测* 丁丽萍1,2+,王永吉1 1 (中国科学院软件研究所 互联网软件技术实验室，北京，100080) 2 (北京人民警察学院 警务科学研究所，北京，100029) 摘要： 计算机取证工具用于计算机证据的获取、分析、传输、存档、保全和呈堂，为了确保计算机证据有较强的证明力并具备证据的可采用标准，用于计算机取证的工具软件必须进行严格的检测。本文论述了计算机取证的概念和步骤，提出了计算机取证软件工具应具备的基本功能和对计算机取证工具进行检测的必要性和基本方法。 关键词： 计算机证据 计算机取证 步骤 功能 检测 方法 一、计算机取证的概念、步骤和相关的工具 1、计算机取证的概念 取证专家Reith Clint Mark认为：计算机取证（computer forensics）可以认为是“从计算机中收集和发现证据的技术和工具” [11]。实际上，计算机取证就是对于存在于计算机及其相关设备中的证据进行获取、保存、分析和出示。用于计算机取证的工具必须在计算机取证的任意一个步骤中具有特殊的功能，使得由于这一工具的使用保证了计算机取证工作能够顺利进行并获取到可以被作为证据使用的数据资料。 计算机取证的步骤 .2.1 保护现场和现场勘查 现场勘查是获取证据的第一步，主要是物理证据的获取。这项工作可为下面的环节打下基础。包括封存目标计算机系统并避免发生任何的数据破坏或病毒感染，绘制计算机犯罪现场图、网络拓扑图等，在移动或拆卸任何设备之前都要拍照存档，为今后模拟和还原犯罪现场提供直接依据。在这一阶段使用的工具软件由现场自动绘图软件、检测和自动绘制网络拓扑图软件等组成。 2.2 获取证据[6][7] 证据的获取从本质上说就是从众多的未知和不确定性中找到确定性的东西。这一步使用的工具一般是具有磁盘镜像、数据恢复、解密、网络数据捕获等功能的取证工具。 2.3 鉴定证据[6] [9] 计算机证据的鉴定主要是解决证据的完整性验证和确定其是否符合可采用标准。计算机取证工作的难点之一是证明取证人员所搜集到的证据没有被修改过。而计算机获取的证据又恰恰具有易改变和易损毁的特点。例如，腐蚀、强磁场的作用、人为的破坏等等都会造成原始证据的改变和消失。所以，取证过程中应注重采取保护证据的措施。在这一步骤中使用的取证工具包括含有时间戳、数字指纹和软件水印等功能的软件，主要用来确定证据数据的可靠性。 .2.4 … 继续阅读 →

转自<黑客基地> 文章作者：冰血封情[EST] 信息来源：中国邪恶八进制（www.EvilOctal.com） 前言：这是《网络安全较高安全级别主机的渗透》系列文章中的第一篇，有空继续往下写。 对一台主机的渗透我把他划分了：序幕、渗透、尾声三个阶段。顾名思义，序幕就是入侵前的信息刺探了。 怎么样做到全面和精细，可是很有重要意义的，特别是对后面的渗透起着关键的辅助作用。 很多朋友，甚至包括有些踏入黑界有一段时间的朋友，都是以为信息刺探并不重要。想黑什么主机，抓起工具来找一个IP段一阵狂扫21SerU(北风卷地@#$%^&*) 然后发现溢出漏洞——入侵。 汗！真的让你渗透的时候有那么容易么？ 我们不是渗透"漏洞"，而是渗透"主机" 成段的扫描某个漏洞，然后谁有洞进谁，等真和你有仇的人来了，你还能扫一段么？ 简直是错误思想！冰血封情技术其实不怎么样，和13K、Sagi……他们没法儿比，但是经验还是有那么一点点儿的，就分享一下吧。：） 今天我们就用一台网络php主机为例子来说明一下网络安全中“踩点”的重要性以及怎么样踩点(小偷的说)，咱们选的主机不见得多安全，但是我只是授人与渔。其实踩点往往是最容易忽略的网络渗透的第一步。如果第一步走好，将会为后面的安全检测或者是入侵渗透提供良好的理论指引。 在很多人眼里unix+php是比较安全的。那么我们怎么样为了进入一台php机而搜集前期信息呢？正好最近有一个设计站点得罪了偶妹妹萌萌，那不客气了。正好用它做例子给大家讲讲。话不多说，开始。 透目标(化名)： www.target.com 一、 信息搜集过程： 1、 知道地址 ping www.target.com Pinging www.target.com [***.***.***.***] with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request … 继续阅读 →

转自<黑客基地> 作者：阿酷 来自：酷客天堂 ================================ 刚才从新闻上听到一条消息：少林网站公布武功秘笈；呵呵！这个比较爽！ 顺便就去少林寺的网站上看了看，http://www.shaolin.org.cn/ 打开后，看到有新闻系统，随意浏览了一下几条新闻，都是html的，似乎没什么问题，但是当我把鼠标放到首页新闻上时，发现他的连接是“javascript:MM_openBrWindow(‘../../../asp/news_article.asp? NewsID=649′,’news’,’scrollbars=yes,width=520,height=400′)”，大家可能注意到了，有可能存在注入，我也是没事看电视，那就渗透一下试试。 1、输入地址： http://www.shaolin.org.cn/../../../asp/news_article.asp?NewsID=649， 可以打开新闻，说明url正确，加’后，返回 ———————————————————————————- Microsoft OLE DB Provider for SQL Server 错误 ’80040e14′ Unclosed quotation mark before the character string ”’. /asp/lib/lib.asp，行710 ———————————————————————————- 应该是sql数据库。 2、使用’ having 1=1—,提示 ———————————————————————————- Microsoft OLE DB Provider … 继续阅读 →

转自<Hoky Security Team> 方法一：利用Cookies对象 　　因为Cookies对象把变量的值保存在浏览器客户端，所以可以根据Cookies保存的IsVoted的值来判断用户是否投过票。Cookies变量和Session变量一样是私有的，但是如果我们定义了Cookies变量的生存期限，则Cookies变量是公有的，凡是从同一台机器上登录的用户在规定的时间期限没有达到时，都无法投票，这在一定程度上也能防止反复投票。根据实际情况合理地设置Cookies变量的生存期限的长短，例如设定为10分钟，这样一台机器即使连续投票最多一天也只能投144张票。 　　此种方法的漏洞：在Windows 9x环境下，只要把 Windows\Cookies目录下所有＊.txt文件删除，又可重复投票。 方法二：验证IP地址与登录时间 　　此方法首先利用 Request.ServerVariables(REMOTE_ADDR)取得用户的IP地址。在Web Server端建立一个标准的MDB类型的数据库，此数据库有一个表，该表只有两个字段：IP地址和登录时间。之所以设置登录时间这个字段，是考虑到拨号上网用户可能共用同一个IP地址，如果一个IP 地址只能投一次票，那么显然不合理。同时，我们还采用方法一同样的思想，必须每隔一个设定的时间段，同一个IP地址才能再次投票。 方法三：小范围调查 　　这种方法只适用于小范围调查，思想与方法三相同，只是把方法二中的 IP地址换成可以唯一代表用户的字段，如学生证号、工作证号等。这时建立的MDB数据库只包括两个字段：证件号码与IsVoted(其中IsVoted是逻辑型字段， TRUE表示已投过票，FALSE表示还未投票，在建库时所有记录的IsVoted的值都设为 FALSE)。在投票之前，要求先输入正确的证件号码，然后再判断IsVoted的值。 　　从方法一到方法三，安全性越来越高，防止重复连续投票功能越来越强，但是各种方法都有各自的局限性。在应用中，用户应根据实际情况选择合适的方法。如果小范围投票，方法三无疑是最好的；如果在Internet上投票，方法二是最好的。另外一点必须提及的是：虽然Application有保存变量的功能，但是我们没有用到。因为 Application变量是一个全局性变量，如果用Application把IsVoted设为TRUE，则任何用户都无法投票；如果用Application把IsVoted设为FALSE，则任何用户都可以投票，就没有任何防范功能了。