在抽一支烟的时间里可以做很多事,包括杜金目前所思考的事情。在他所从事的商业领域中,能够与其抗争的公司并没有几家。由于行业透明度不高,导致非常规手段经常出现在竞争中,为了顺利“拿下大客户,有时需要使用一些“特殊策略”。
其实杜金并不在乎丢掉这几个客户,毕竟这一切他已经司空见惯了,他也有办法拿下更多的订单来弥补损失,然而他必须要搞清楚这些原本已经十拿九稳的客户为什么会丢掉,因为这几家客户一直是他亲自跟进的,最终的报价也只有自己知道,甚至连他最得力的助手都不得而知,但竞争对手好像对每件事都了如指掌,自己做每一件事好像都有一双眼睛在背后死死地盯着,这种状况近半年来最为明显。长久的思考后,杜金脸上露出了浅浅的微笑。他拿起手中的电话拨通了一个神秘的号码。
高薪雇用的黑客K在杜金的指引下登录了商业对手的公司网站,发现网站程序为ASP程序之后,黑客K开始用传统的NBSI、Domain之类注入工具疯狂扫描该网站,但是经过一番折腾之后没有寻觅到任何的漏洞,显然该公司的网站做了一些防注入的工作。
黑客K不得已用手工测试寻找漏洞。终于功夫不负有心人,在这个网站的一个子栏目中,当黑客习惯性的在网址后面输入了一个单引号之后,页面弹出了一个警告窗口,上面提示输入了错误的参数。根据经验,黑客K判断出这家公司网站用了一个粗糙的防注入手段。Www.ITcoMputeR.cOm.CN网站显然只检查了Request中GET方式所提交的变量,明显忽略了POST和Cookies,黑客K非常清楚,这意味着这个商业网站很可能存在一个Cookies注入漏洞。
小知识: Request函数获取客户端提交数据常用的是GET和POST两种方式(Get是用来从服务器上获得数据,而POST是用来向服务器上传递数据),由于Request函数在使用时通常不会定义如何提取数据,因此在没有做详细设定时它依次先取GET中的数据,如果没有再取POST中的数据,最后还会提取Cookies中的数据。Cookies是保存在用户自己电脑中的一个文本文件,用户可以随意窜改,这样一来黑客就可以利用Request.cookies方式来提交窜改后的变量值,进行注入攻击。
黑客K返回刚才的网址http://www.sanguoyanyi.com/sanguoyanyi.asp?JiangjiaID=123,在刷新页面后将浏览器地址栏中的网址全部删除,然后再在浏览器地址栏中输入javascript:alert(document.cookie="JiangjiaID="+escape"("123 and 1=1"))就可以修改Cookies中的数值。
修改完成后通过访问http://www.sanguoyanyi.com/sanguoyanyi.asp,发现网页返回正常,随后再一次清空浏览器地址栏,并输入javascript:alert(document.cookie="JiangjiaID"="+escape"("123 and 1=2")),返回的数值结果说明变量的值已经被成功地修改了,网站存在Cookies注入的漏洞(图1)。
利用Cookies成功侵入网站
判断出网站可以Cookies注入后,黑客K开始谋划入侵网站。黑客K在自己的硬盘中“翻箱倒柜”地找出了一款名为《注入中转生成器》的黑客工具。打开软件后,黑客K首先在“注入键名”处填入变量“JiangjiaID=”,在“注入URL地址”中填入存在Cookies注入点的网页地址http://wwww.sanguoyanyi.com/sanguoyanyi.asp(图2),在“来源页”中再一次重复输入上面那个地址。完成上述操作后,选择软件右边的“Cookies注入”,最后点击“生成ASP”,软件提示生成了一个JmCook.asp文件。
此时虽然完成了入侵该网站最重要的一个环节,但是还必须在本地开启IIS服务,搭建能够解析ASP语言的服务环境,这样才能够真正地获取自己想要的东西。点击控制面板中“添加/删除 Windows组件”按钮,在弹出的“Windows 组件向导”中找到“Internet信息服务(IIS)”,在勾选添加安装后,黑客K将JmCook.asp这个文件复制到了IIS指定的wwwroot文件夹中。
然后打开《啊D注入工具》,将http://127.0.0.1/jmcook.asp?jmd cw=123这个网址复制进《啊D注入工具》的地址栏中,再一次扫描检测过后,网站后台的管理员用户名和密码此时全部浮出了水面(图3)。
应对Cookies注入最简单的方法就是运用ASP中的Request函数时(主要是用来读取客户端浏览器的数据),不要直接就是ID=Request("ID"),最好改成Request.QueryString (GET)或Request.Form (POST)。这样Request函数就不会读取Cookies了,也就不能被黑客利用了。
黑客K淡然一笑:“成功了,很简单嘛!”又定了定神,调出《啊D注入工具》扫描后台,大约不到3分钟时间,就得到了网站的后台地址。接下来就准备登录管理员后台,上传网页木马然后获取Webshell,找到敏感数据就只是时间问题了……
如何提高密码安全性
在电脑的应用中,每一个人都要与密码打交道,以此作为保护重要文件、信息的“防护盾”。不可否认的是,在为文件、银行账户、邮箱、聊天工具等添加密码时,倘若所输密码过于简单,那么就会存在被破解的可能性。因此,自己所打造的密码必须变得更“强壮”,如此才能增加安全系数,让文件及隐秘信息变得更为安全。
如何才能知道所使用的密码是否强悍无敌呢?我用的是微软官方提供的《密码强度测试工具》来测试密码的强度(网址:http://www.microsoft.com/protect/yourself/password/checker.mspx)。打开页面后,在“Password”一栏中键入测试的密码,在“Strength”栏目中就会得到相应的测试结果,非常方便。
测试出来的密码强度共分为Weak、Medium、Strong、BEST四个等级,其中Weak表示密码强度最差、Medium次之、Strong代表密码强度较好、BEST表示密码强度最高。根据这些测试出来的不同结果,我们便可以从中了解到自己所用密码的强度,以降低被暴力破解的概率。
根据微软对于密码安全性的定义,建议大家组成密码的字符最好在8位以上且字符不应重复,字符内容应包含大写字母、小写字母、数字、符号(如#、空格等)。不过,在此需要提醒大家:即便拥有最“强壮”的密码也不能高枕无忧。在电脑操作的过程中,我们一定要保持良好的操作习惯,并提高安全防范意识,如此一来才能尽力确保密码的安全。
如何清除Nwizs.exe病毒
最近我上网以后系统运行就特别缓慢,请朋友帮我检查后得知,应该是有大量数据在后台下载造成的。朋友建议我杀毒,可启动杀毒软件没有任何反应,这时朋友告诉我上安全论坛求助试试。上网后,浏览器默认打开了谷歌首页,朋友说这种现象不对头,果然我进入安全论坛后窗口马上被关闭。请问医生,这到底是怎么回事?我的系统中了什么病毒?
是我修改你的首页
SSDT中文名词是“系统服务描述符表”。大量的安全工具都是通过它在系统内部改变程序的运行规则,从而使程序出现可疑行为时,安全软件会对用户进行警告。
嘻嘻,我坦白,是我干的!记住我的名字:大水牛下载者。我是一款结合了木马、流氓软件特点的下载病毒。当我通过网页木马等方式进入到用户系统以后,首先会在系统目录释放出多个病毒文件,并且在所有的驱动器下创建Autorun.inf 和Nwizs.exe,从而让用户双击磁盘就中招。
接着,我的主文件Nwizs.exe会修改系统注册表,添加到启动项里面,从而实现开机后随机启动,并且用户无法看到病毒文件和相应的注册表键值。另外,Nwizs.exe还会进行IFEO 映像劫持、破坏注册表隐藏键值、定时悄悄地弹出窗口,并且还设置IE浏览器起始页,默认设置的是谷歌的首页。
然后,我会创建两个Svchost.exe进程来运行自己。由于在正常系统中会同时存在多个Svchost.exe进程,这样就具有很强的迷惑性,普通用户无法判断该终止哪个进程。在系统的临时目录里面,还会释放一个5 位字符组成的随机名的.tmp 文件,利用它来替换加载的%SystemRoot%\system32\drivers\Beep.Sys。这样就可以在无系统提示的情况下,悄悄覆盖系统的SSDT表,从而让系统中具有主动防御的杀毒软件失效。
最后,我会插入到进程Iexplore.exe中,查找并关闭杀毒软件的进程。同时关闭带有关键字的窗口,关键字包括金山毒霸、江民等。入侵活动进行得差不多了,我就会从网络中下载其他病毒。
看我庖丁解“牛”
我来了!有我在,大水牛病毒你还能猖狂?看我如何把你解剖了。
第一步:首先断开计算机网络,截断病毒和外界连接的途径。打开命令提示符窗口,输入命令:Nwizs.exe -clear(见图)。该命令可以让病毒的自我保护功能立刻消失,这样为后面的清除铺平了道路。大约等上一分钟就可以了,然后启动SREng,点击SREng主窗口“启动项目”按钮,选中“注册表”标签删除那些红色的项目,这些都是被映像劫持的内容。
第二步:在开始菜单中的“运行”中输入Regedit,从而打开系统的注册表编辑器。依次展开到HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDown V3.5-V,会在窗口中发现“”PID1“=”和“”PID2“=”两项内容,其中PID1和PID2分别对应伪造的Svchost.exe的PID。运行《冰刃》后点击工具栏中的“进程”按钮,分别结束PID1和PID2指向的两个Svchost.exe进程。
第三步:重新启动系统,点击“文件夹选项”命令,选取其中的“显示隐藏文件或文件夹”和清除“隐藏受保护的操作系统文件(推荐)”前面的钩。然后搜索System32目录中的Hook_nwizs.Dll和Nwizs.Exe文件,以及各个磁盘分区下的Nwizs.exe 和Autorun.inf文件,找到以后将它们删除就可以了。
From:http://www.itcomputer.com.cn/Article/Network/201309/141.html