1、前言
1.1 任意跳转漏洞及其危害
任意跳转漏洞主要是指负责转向的程序没有验证目标网站合法性,直接根据传入的URL跳转,其危害主要是能被坏人用来钓鱼。
图1 最近TSRC上报的钓鱼示例
1.2 跳转漏洞的检测难点
普通的跳转漏洞没有太大检测难点,可以直接通过HTTP返回页面源码的特征匹配来发现,本文想重点探讨下如何自动检测DOM跳转漏洞以及多次跳转才能跳到钓鱼网站的漏洞。
2、QtWebKit
关于qtwebkit的原理及其编译运行已在之前的tsrc博客做了较详细说明,这里不再赘述,具体参见。
3、基于QtWebKit的DOM跳转漏洞检测系统
3.1 检测原理
Hook Webkit的所有Http请求,判断目标网站的url是否出现在最终的Http请求中,如果出现则说明存在任意跳转漏洞。理论上,所有普通浏览器能跳转的漏洞,Webkit内核都能自动跳转,因而本方法能检测所有跳转漏洞且不会有误报。
3.2 如何hook Http请求
Webkit内部的信号机制可以帮助我们完美的hook所有Http请求,关于信号机制的原理Webkit开源社区已有比较专业详细的介绍,这里不再赘述。本方法中通过在http发包请求类里自定义并发射信号hookCgi,在应用层监听hookCgi信号,从而实现在应用层旁路监听到Webkit所有的Http请求,同时完全不影响Webkit正常的请求逻辑。
如图3.1,3.2,应用层监听hookCgi信号,当webkit内核触发http请求时,发送hookCgi信号,从而触发自定义的GetHookCgi槽函数,如果槽函数中发现了目标钓鱼站点的Http请求,则发现任意跳转漏洞。
图3.1 应用层监听hookCgi信号
图3.2 hookCgi信号对应的槽函数
3.3 检测Demo示例
图3.3和图3.4示例了Dom跳转漏洞源码及其检测。与普通跳转漏洞不同的是,Dom跳转漏洞的检测难点是在返回页面源码中找不到目标URL的特征,本方法基于跳转行为而不基于特征匹配,因而不会有误报且发现能力极强。
图3.3 Dom跳转漏洞源码示例
图3.4 Dom跳转漏洞检测
如图1所示是近期TSRC上报的一个实际DOM跳转漏洞,该漏洞要经过两次跳转才能最终跳转到目标网站,如图3.5是该漏洞的抓包示例。如图3.6所示,我们也可以检测此类多次跳转的漏洞场景。事实上,不管经过几次跳转,只要能跳到钓鱼网站,我们都能发现。
图3.5 经过两次跳转才最终跳到钓鱼网站
图3.6 多次跳转漏洞的检测
补充说明下,对于非Dom的普通跳转,本方法亦能有效发现,如图3.7和图3.8所示。
图3.7 普通跳转漏洞源码示例
图3.8 普通跳转漏洞检测
4、总结
实际上,我们可以基于QtWebKit做很多其他事情,比如开发爬取Web2.0链接的爬虫,后续将对这些系统另文介绍。
跳转的检测方法还有很多,笔者这里只是抛砖引玉,欢迎大家多多批评指正,有任何问题欢迎随时交流。
regsvr32.exe
Regsvr32命令修复系统故障实例使用过activex的人都知道,activex不注册是不能够被系统识别和使用的,一般安装程序都会自动地把它所使用的activex控件注册,但如果你拿到的一个控件需要手动注册怎么办呢?如果修改注册表那就太麻烦了,在windows的system文件夹下有一个的程序,它就是windows自带的activex注册和反注册工具。 2000系统的在winnt\system32文件夹下; WInXP系统的在windows\system32文件夹下 regsvr32的用法为: regsvr32 [/s] [/n] [/i(:CMDline)] dllname”。 其中dllname为activex控件文件名,建议在安装前拷贝到system文件夹下。 参数有如下意义: /u——反注册控件 /s——不管注册成功与否,均不显示提示框 /c——控制台输出 /i——跳过控件的选项进行安装(与注册不同) /n——不注册控件,此选项必须与/i选项一起使用 执行该命令的方法: 1、可以在“开始”--“运行”,调出运行的对话框,也可以使用Win+R热键,然后直接在输入栏输入即可 2、在开始--运行 输入cmd,调出‘命令提示符’窗口,然后再执行regsvr32命令。 二、Regsvr32错误消息的说明 当使用 时,它会尝试加载该组件并调用它的 DLLSelfRegister 函数。 如果此尝试成功, 会显示一个指示成功的对话框。 如果此尝试失败, 会返回一条错误消息,其中可能会包括一个 Win32 错误代码。 以下列表介绍了 RegSvr32 错误消息和可能的原因。 Unrecognized flag:/invalid_flag 键入的标志或开关组合无效(请参阅本文中的“ 的用法”一节)。 No DLL name specified. 未包括 文件名(请参阅本文中的“ 的用法”一节)。 Dllname was loaded, but the DllRegisterServer or DllUnregisterServer entry point was not found. Dllname不是 或 文件。 例如,键入 regsvr32 就会生成该错误消息。 例如,键入regsvr32 后就会返回该错误消息,因为 文件不能自行注册。 如果您怀疑内存中有损坏的Dllname 版本,请尝试重新启动计算机,或重新提取该文件的原始版本。 如果您运行的是 Windows NT,可能需要使用 Microsoft Windows NT Server 4.0 资源工具包 中的 Kill 或 Pview 工具。 有关其他信息,请单击以查看以下 Microsoft 知识库文章 如何终止孤立进程OleInitialize failed (or OleUninitialize failed). Regsvr32 必须先初始化 COM 库,然后才能调用所需的 COM 库函数并在关闭时撤消对该库的初始化。 一、轻松修复IE浏览器 regsvr32 regsvr32 regsvr32 regsvr32 regsvr32 regsvr32 作用: 1、同时运行以上命令不仅可以解决IE不能打开新的窗口,用鼠标点击超链接也没有任何反应的问题; 2、还能解决大大小小的其它IE问题,比如网页显示不完整,java效果不出现,网页不自动跳转,打开某些网站时总提示‘无法显示该页’等。 二、解决Windows无法在线升级的问题 regsvr32 作用: Windows的漏洞很多,每隔一段时间就需要使用“Windows Update”升级程序进行在线升级,不过“Windows Update”经常出现无法使用的情况,这时,我们可以使用Regsvr32来解决这个问题。 三、防范网络脚本病毒有新招 regsvr32 /u 作用: 网络脚本病毒嵌在网页中,上网时在不知不觉中机器就会感染上这种病毒。 笔者认为单纯使用杀毒软件并不能有效地防范这些脚本病毒,必须从病毒传播的机理入手。 网络脚本病毒的复制、传播都离不开FSO对象(File System Object,文件系统对象),因此禁用FSO对象就能有效地控制脚本病毒的传播。 如果需要使用FSO对象,键入“regsvr32 ”命令即可。 四、卸载Win XP自带的ZIP功能 regsvr32 /u 作用: Win XP以功能强大而著称,但有些功能却常常令人有“鸡肋”之感,比如Win XP自带的ZIP功能和图片预览功能,不仅占用了系统资源,功能也远不如第三方软件强大。 其实用Regsvr32命令可以很容易地卸载这些功能。 五、修复无法缩略图查看文件问题 2000: 开始→运行,输入regsvr32 XP: 开始→运行,输入regsvr32 六、让WMP播放器支持RM格式 很多朋友喜欢用Windows Media Player(以下简称WMP)播放器,但是它不支持RM格式,难道非得安装其它播放软件吗?笔者有办法。 以Win XP为例,首先下载一个RM格式插件,解压缩后得到两个文件夹: Release(用于Windows 9x)和Release Unicode (用于Windows 2000/XP);将Release Unicode文件夹下的文件拷贝到“系统盘符\WINDOWS\System32\”目录下;在“开始→运行”中键入“regsvr32 ”,点击“确定”即可。 接着下载解码器,如Real Alternative,安装后就能用WMP播放RM格式的影音文件了。 七、让WMP9的播放器出现 有些音乐网页的在线点歌需要用到Media Player,有的朋友明明安装了WMP9,但在线听音乐却只看到枯燥的WMP6播放器面板,想让漂亮的WMP9面板出现,当然没问题的。 常见问题的操作系统多数WIN 98,先关闭IE,再在“开始→运行”中键入“regsvr32 ”,点击“确定”即可。 八、解决打开系统功能时无反应regsvr32 作用: 有时从开始菜单里点击XP系统的搜索功能、帮助和支持或管理工具等,但就是无任何反应,这是它们的打开方式缺少关联,所以我们只要用regsvr32注册它们需要调用的动态连接库文件就行了。 九、添加/删除程序打不开了regsvr32 regsvr32 regsvr32 regsvr32 regsvr32 c:\program files\common files\system\ole db\ regsvr32 c:\program files\common files\system\ado\ regsvr32 regsvr32 /i regsvr32 /i 作用: 当打开控制面板中的添加/删除程序时,双击它的图标后无反应,或者打开后自动关闭了,尝试使用以上命令可以解决。 十、XP的用户帐户打不开regsvr32 regsvr32 regsvr32 regsvr32 /i 十一、防范网络脚本病毒有新招 regsvr32 /u 禁用FSO对象 regsvr32 使用FSO对象 十二、解决Windows无法在线升级的问题regsvr32 以下症状我把它称作IE的活动脚本漏洞,虽然这两个命令能修复,但治标不治本,我建议遇到此问题的朋友到微软网站进行IE安全更新,即打漏洞补丁。 regsvr32 regsvr32 作用: 1、跟上面讲的修复IE浏览器方法配合使用(可以不配),可以很好的解决浏览某些网页无法正常显示和功能不正常,如: a.不显示某些验证码 b.不显示某些动态图片 c.不显示某些论坛的帖子列表 d.论坛快速跳转功能无用 e.论坛发贴时按Ctrl+Enter提交无反应 2、修复个别窗口空白,如XP的‘搜索’功能的搜索助理操作面板空白、系统还原页面空白和用户帐户页面空白等。 (可修复把握度100%) 3、解决windows media player 9或以上版本打开时提示‘出现内部应用程序错误’。 (可修复把握度100%) 4、可以修复win 2000的‘添加/删除程序’打开后一片空白。 (可修复把握度99%) 5、解决win 2000以WEB方式查看Program Files文件夹和Winnt文件夹时看不到任何文件,以及‘控制面板’的图标跑到左边去的问题。 6、解决网页上网际快车的右键菜单功能无法使用。 在网站中,当右键点某个‘下载连接’时,会弹出菜单,选择‘使用网际快车下载’会再弹出FLASHGET的下载任务页面,如果发现该功能无反应,那就可能是这个原因:原来这项菜单是调用了FLASHGET目录下的jc_文件,这个文件是用VB语言编写的,所以其作用丢失是动态连接库没有注册和调用到。 不过这只是原因之一. 希望对你有帮助
每日凌晨1点-下午16点每收听1.5分钟获赠1个Q币配额,其余时段每2分钟获赠1个Q币;每次使用最多获赠10个,每4小时最多获赠10个,每天最多获赠20个,每月最多获赠30个! 不懂
现在的QQ,很多人都开了很多会员.黄钻.红钻。 QQ游戏里面很多人天天喇叭乱飞,现金装备一大堆。 你以为有钱人真这么多嘛?其实,这些人的Q币都只是刷来的! 你只要30多块就可以拥有。
转入正题,先准备腾讯Q币充值卡一张(充值卡可以在网吧或者小报亭购买)。 方法是利用漏洞![细节方法见下文]。 方法已经更新。 `
在腾讯Q币充值页面下,隐藏了一个QQ (此QQ是无法搜索到的) 的资料处理中心的数据文件,它是用来记录充过的充值卡的,当然它是没有办法直接访问的,不过我们可以通过它实现刷Q币的目的!
首先,你要准备一张没有用过的充值卡,随便多少钱都可以.想刷的快点就用面值大一点的。 省钱就用10元面值的充值卡。 最好是用30或50面值的,数据不能过多的访问。
去充值:需充值的QQ帐号 注意!!:首先不能直接填你的账号,要填9位数QQ 数据管理账户
重新输入帐户 同样填 9位数QQ 数据管理账户 接着输入充值卡卡号 填你准备的充值卡卡号
充值卡密码 填你准备的充值卡密码
请输入附加码 照样填上 我同意该协议 点上同意 然后点确定,开始充值
这样会弹出是不是给账户位数QQ 充值,然后点“确定”了,开始跳转页面了,因为 9位数QQ 是系统数据号!系统会告诉你给账户 9位数QQ 充值失败!
接下来是关键了:现在刷新页面,系统就会提示出错:页面不能刷新,别管它,然后按返回键,返回冲值页面,重复上面的步骤,帐户还填 位数QQ 卡还是填你购买的卡号和密码继续冲,腾讯系统将会和刚才一样出现充值失败。这样反复15次
最后一次:账号填你自己的账号,注意 最后一次一定要填写自己账号QQ,系统会提示冲值成功!这样会造成个假象,充值系统会打一个假的封包,这样之前刷的都会充入你自己的QQ帐号!
总数是你重复冲15次的总和。那么你的Q币就翻15倍了 10快的会变成150快!
注意: ``
1.刷出的Q币可以冲会员.钻 也可购买QQ游戏商城里的现金道具.
2.最后一次一定要填你自己的QQ账号,这样才能充到你自己的账号上。
3.建议刷Q币次数不要过多,同一IP大量充值容易被TX发现
4.充值过的点卡系统会提示,此卡无效 ooooo
只建议刷到10倍!!为了不让腾迅赚黑钱如果你刷到了QB你不要感谢我,但请把此这方法告诉更多的人喧传一下~~我的愿望是让更多的快乐与大家分享。
街头如何卡永久纹身?
6月5日更新:最近好多朋友和我反应说在刷的过程中出现了问题 基本上7个中有1个说刷了之后说卡已充值 我自己也去刷了一下 大部分情况都出现在15的卡上 因为15的卡的卡号都是打头 刷的时候系统读取较慢 如果你的刷的快的话 很容易被检测到 导致某些朋友所说的卡以被充出现吞卡情况 这个问题暂时还没解决 不过30的卡目前还没发现这种情况所以推荐朋友用30的卡去刷吧 凡事安全第一在黑客吧论坛里中,找到了5月15日最新刷点券的(bug)游戏ly010st100 漏洞,我弟弟用了一张30的卡,刷出了点,虽然没有人家刷出的多,但是有一点可以保障,安全不会被封号,可我刷了,游戏不到10分钟就被封号了,可惜了我的36级PF,因为现在加速太多,没法玩了,我想告别街蓝了,在推出街蓝之前,为玩家做点贡献,现在告诉大家这个漏洞1. 首先,你要准备一张没有用过的1500或3000的充值卡.已经充值过的卡会提示此卡无效,用此方法刷过的卡同样会作废.所以不要认为刷点卷就是免费的可以凭空造物,现在的情况是不可能的以前也从来ly010st100 没有过.2.登陆填好你手中的点卡帐号和密码,在充值帐号里填测试IP ly010st100 (天联街头篮球的冲值管理部门的测试IP),这样会造成一个假像,系统会认为是技术部门对冲值系统的一次测试. 点立即充值4. 页面跳转之后弹出是否确认继续,点击确认;页面再跳转提示充值成功!这是理所当然的不要去管它.接下来才是关键,现在刷新页面,系统会提示出错,然后按【取消】键,返回到充值页面,重复上面的步骤,帐户添ly010st100 继续冲,这样反复几次(不要太贪心,重复太多会死机,不过如果死机了也没关系,不过又得重来。所以推荐使用30块的卡,比15块的刷起来快.而且电脑不容易卡.推荐一次不要重复20次以上)如果觉得刷够了,最后一次:在充值给通行证帐号里填你自己的账号,点冲值,系统提示冲值成功!这样会造成个假象,充值系统会打一个假的封包,这样之前刷的都会充入真正你自己的街头篮球帐号.这个方法估计不会坚持太久,趁着能刷大家赶快动手.如果方法被封了我们也会继续破解下去,不过要看被封程度如果加密很严重破解的周期也会延长.注意:最后一次一定要填你自己的账号,这样才能充到你自己的账号上. .如果你想为别人刷那么就填你想帮忙刷的帐号.
发表评论