这个漏洞是2004年出来的了

http://www.securityfocus.com/bid/11173/exploit/

关于漏洞的利用有很多exploit,很多是crash的

最后有一个是 allinone的,包括了添加ADMIN帐号,绑定端口,反向连接,下载木马等功能
http://www.milw0rm.org/id.php?id=556

关于这个漏洞,Andrey Bayora写了篇非常棒的文章.这个家伙是苏联人,现在在以色列的一家顶级金融机构从事安全工作.

这片文章写的非常棒,详细分析了漏洞的起因经过结果,并且给出了一个非常详细的攻击过程,通过发送EMAIL,通过社交工程学骗取打开附件,在内网个人用户机器上,执行shellcode,反向连接出来,再中上sniffer什么的东西.这是一次非常典型的渗透过程.

这篇文章的地址是: http://www.securityelf.org/html/jpeg_exploit_variant/index.html

PDF版: http://www.securityelf.org/files/jpeg_exploit_variant.zip

他的个人主页: http://www.securityelf.org

改用linux桌面,FEDORA CORE 4 , KDE,优化,美化后还是蛮爽的.


主要是做事情方便,当然回家后打游戏还是要用windows,呵呵

不过我曾经在大学的时候把redhat 8 改装成了游戏机

用来打CS,魔兽,拳皇什么的,效果比我的WINDOWS还好,有兴趣的同学可以试试!

最近正在看不死传说，主角叫刘累，是个吸血鬼僵尸，没错，因为他既是吸血鬼又是僵尸。同时还是个修真。

同样是从东方打到西方，地球打到异空间，从修真打到魔法打到超能力，总之是个大杂烩。

和升龙道有些类似，不过作者显然没有血红坏的那么彻底，呵呵。我一直相信血红是最邪恶的家伙。

还好是个全本，文笔还可以忍受，消磨时间可以。

起点链接

攻击者通过XSS，修改了所有member的个人空间，很搞笑的给每个人都加了个samy is my hero,显示出他明显有自恋倾向。

myspace的页面做了很多过滤，攻击者用了很多方法，最终绕过了ids，修改了用户的profile，最终形成一个XSS Virus。

今天bugtraq上很是热烈的讨论着myspace被黑的事情。

攻击者还写了个攻击经过发布在互联网上，很是嚣张和搞笑的说着i never be caught

关于 XSS Virus

关于攻击myspace的过程和方法细节