Email:Dansnow@21cn.com OICQ:99118 (仅此一个号码)

特别邀请SharkStorm(www.SharkStorm.net)管理论坛

论坛名称:小榕论坛  版主:小榕 SharkStorm http://www.netXeyes.com


将文章加入您的收藏夹 将本页发给您的朋友 将本页输出到打印机
文章标题: 鉴别伪装的漏洞(转载)     搜索红崆天道之雪蜘蛛所有的帖子 查看红崆天道之雪蜘蛛的信息 回复时引用此贴 复制此贴内容 将本贴子内容通过email打包下载 给红崆天道之雪蜘蛛留言 给红崆天道之雪蜘蛛发信 修改帖子 红崆天道之雪蜘蛛的IP地址:61.138.48.* 删除此帖子

鉴别伪装的漏洞
2001-01-17· analysist修改·中联绿盟
--------------------------------------------------------------------------------
  近日,国内一网友发现一国外站点存在明显的漏洞,但是却不能利用现成的Expolites来控制这台站点,而 且在入侵的过程中发现有一些可疑的地方,感觉这可能是伪装的漏洞。 于是在国内著名的中联绿盟的NT技术论 坛发了一篇帖子。绿盟的袁哥经过实际测试,确定了这个站点是国外一家安全公司的站点, 本身这些漏洞是伪 装的。同时,他也提供了下列证据来证实他的结论。

  1、+.htr漏洞,你换成大写的+.HTR就不一样了,而WINDOWS+IIS不区分大小写。 并且.htr的返回信息不是 那样的,那像.htw的返回信息。

  2、用.ida请求能返回物理路径信息,但加上%返回信息应该是%解码后的路径, 但返回信息没有解码%,显 然也是伪装的。

  3、那个解码执行CMD.EXE如果发现URL最后是CMD.EXE串会返回一段警告信息。其实如果是真有这漏洞的话,他那种检测太好逃避了。

  4、直接TELNET查看返回信息,没有IIS的BANNER。很可能就不是IIS系统。

  因为一些原因,没有再多试。在此奉劝大家不要去试这站点,一个可能监视你有些什么攻击方法, 再一个 万一你做得不好,他拿来告你攻击也不好。

  本身我们学安全应该学的是怎么保护我们的系统安全,研究攻击方法也是为这服务,而不是拿来破坏。

——————————
要学会同时思考几件事情,将来的成功者就是能同时做几件事情的人
离线
MSIE 5.0 Windows 98
作者: 红崆天道之雪蜘蛛  时间:2001-01-30.23:42:02 来源: №红崆天道№
Re:鉴别伪装的漏洞(转载)    搜索Ekin所有的帖子 查看Ekin的信息 回复时引用此贴 复制此贴内容 将本贴子内容通过email打包下载 给Ekin留言 给Ekin发信 修改帖子 回复 Re:鉴别伪装的漏洞(转载) Ekin的IP地址:61.134.232.* 删除此帖子

 好!
——————————
<<光和影子论坛发贴守则>>

本论坛不欢迎如下类型的帖子,此类帖子会被关闭或删除,本人恕不回复。
一,无内容或内容过于简单
二,个人联系的帖子。包括“某某请进”之类标题的
三,要求代破密码的
四,同一帖子多次重复发表的,灌水的
五,政治敏感话题,黄色或语言不文明,攻击他人
六,在流光手册中已有详细介绍或前面帖子中已经有大量回复的 		离线
MSIE 5.0 Windows NT
作者: Ekin  时间:2001-02-01.00:36:39 来源:北京

Re:鉴别伪装的漏洞(转载)    搜索双鱼所有的帖子 查看双鱼的信息 回复时引用此贴 复制此贴内容 将本贴子内容通过email打包下载 给双鱼留言 给双鱼发信 修改帖子 回复 Re:鉴别伪装的漏洞(转载) 双鱼的IP地址:61.164.82.* 删除此帖子

 离线
MSIE 5.5 Windows 98
作者: 双鱼  时间:2001-02-11.20:34:31 来源: 61.164.82.*

Re:鉴别伪装的漏洞(转载)    搜索飞天所有的帖子 查看飞天的信息 回复时引用此贴 复制此贴内容 将本贴子内容通过email打包下载 给飞天留言 给飞天发信 修改帖子 回复 Re:鉴别伪装的漏洞(转载) 飞天的IP地址:61.160.71.* 删除此帖子

 不错 离线
MSIE 5.0 Windows 98
作者: 飞天  时间:2001-02-11.21:13:14 来源:,,,,

管理选项: 关闭主题 | 从精华区中移出 | 删除主题
本论坛言论纯属发表者个人意见,与 蓝色巴别塔 立场无关
论坛服务由 蓝色巴别塔 提供 技术支持:Yuzi工作室