12 2013 档案

摘要：腾讯通RTX（Real Time eXchange）是腾讯公司推出的企业级实时通信平台.rtx server 存在暴露用户信息的漏洞,通过web访问http://RtxServerIp:8012/userlist.php #泄漏公司所有rtx用户http://RtxServerIp:8012/getmobile.cgi?receiver= #泄漏用户手机号http://RtxServerIp:8012/check.php #验证弱口令脚本化攻击思路: sudo nmap -sS -T4 -Pn -p8012 xxx.xxx.xxx.0/16 -oX out.xml nmap 扫描大网段以基数来 阅读全文

摘要：......上一节,我们编写了一个基本的lkm模块,从功能上来说它还没有rootkit的特征,这次我们给它添加一点有意思的功能.我们让一个指定的进程杀不死, 曾经,想写一个谁也杀不死的进程,进程能捕捉到SIGTERM,就是kill默认发送的signal,能捕捉到SIGINT,你平时按下Ctrl-C就是这个操作,但是无论如何你也无法阻止,SIGKILL,及终极杀人王火云邪神的必杀kill -9 pid. 作为一个小强,怎么能被现实如此的摧残,我们要对命运说不,so 有个几种解决方案,一中方案:两个进程互相监听,另外一个死了,立马起一个新的进程,另外一种方案:我们想是谁让kill -9 就能杀.. 阅读全文

摘要：驱动在hook系统函数的时候通常要将只读属性暂时的屏蔽掉，主要有三种方法1.修改CR0寄存器的WP位，使只读属性失效（这是网上用的最多的方法）,切忌使用完之后立马修改回来2.只读的虚拟地址，通过CR3寄存器中的页目录物理地址找到页目录项继而找到页表项，然后修改页表项中的W位来进行修改3.在页表里新找一项，将其对应的物理地址改为，你要修改那页的物理地址，页属性为可写。然后操作那页即可。X86体系的缺点是可以保护虚拟地址，但不能保护物理地址。CR0 寄存器CR4 阅读全文

摘要：唉，一开始在纠结起个什么名字，感觉名字常常的很装逼，于是起了个这《手把手教你写LKM rookit》 我觉得：你们觉得：。。。。。。 开始之前，我们先来理解一句话：一切的操作都是系统调用。系统通过陷入或者库的方式，让你跟内核的函数交互。当然啦，平时我们都处在用户态的情况下，系统调用调用的是内核态的函数，ps：这个系列完了，我们从内核级的rookit脱离出来，升级到bios级别的rootkit,哇卡卡～～ 那么我在这傻了吧唧的讲了半天，什么是LKM，Loadable Kernel Modules，翻译过来就是“可加载内核模块程序”。 系统调用一般来处理什么I/O请求啦，进程管理... 阅读全文